在内网渗透过程中,获取 windows 系统权限后,提取本地哈希值是一项关键操作。今天我们将介绍一款功能强大的工具,它整合了七种不同的方法来转储 lsass 内存。工具的下载地址如下:
运行工具的界面如下:
如果不带任何参数运行该程序,程序会提示你输入所需的方法,参数范围为 1 到 7,每个参数对应不同的功能:
- 使用解除挂钩技术转储 lsass 内存,并注入修改后的 mimikatz 二进制文件。
- 使用解除挂钩技术转储 lsass 内存,并使用 MDWD 的直接系统调用注入二进制文件。
- 使用简单的 MiniDumpWriteDump API 转储 lsass 内存。
- 使用 MINIDUMP_CALLBACK_INFORMATION 回调转储 lsass 内存。
- 使用进程分叉技术转储 lsass 内存。
- 使用 MiniDumpWriteDump 的直接系统调用转储 lsass 内存。
- 使用直接系统调用转储 lsass 内存(本机转储,带有离线解析所需的流)。
假设我们随机选择方法 5,运行结果如下:
