• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR Сокрытие дампа lsass

Отслеживать

SpacePirate

floppy-диск
Пользователь
Регистрация
24.04.2023
Сообщения
7
Реакции
1
Всем привет!
Может кто-нибудь подсказать/посоветовать существующие решения и методы дампа lsass, которые не возбуждают AV(ни по статике, ни по динамике)? В частности, интересуют Defender, ESET, Kaspersky
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Yes use indirect syscalls it works and bypass Eset and Windows defender
 
zenfai сказал(а):
https://github.com/fortra/nanodump - надо только криптануть под нужные ав
криптанул подписал сертом, как именно дампить ?
ЕДР от софоса сразу удаляет файл дмп но сам нанодамп остается в системе незамеченным.
использовал nanodump.x64.exe
может нужен другой билд нанодампа
 
bryanross сказал(а):
криптанул подписал сертом, как именно дампить ?
ЕДР от софоса сразу удаляет файл дмп но сам нанодамп остается в системе незамеченным.
использовал nanodump.x64.exe
может нужен другой билд нанодампа
там много методов дампа. каким ты пользуешься? если seclogon-duplicate то софос его знает...
но если дамп создается, то нужно его сохранять там откуда его сложно удалить.
 
bryanross сказал(а):
криптанул подписал сертом, как именно дампить ?
ЕДР от софоса сразу удаляет файл дмп но сам нанодамп остается в системе незамеченным.
использовал nanodump.x64.exe
может нужен другой билд нанодампа
шли сразу к себе на серв. под софос не использую данное решение, его можно потушит.
сын кардинга сказал(а):
эти обфускаторы не работают в реальных условиях
блоги шкафчиков пополняются, значит какие-то да работают, углубляйся в тему дорабатывай паблик или пиши свои решения, без этого дальше лаб и стф не продвинешся.
 
zenfai сказал(а):
шли сразу к себе на серв. под софос не использую данное решение, его можно потушит.
имеешь ввиду указывать унц путь туда где нет софоса?
подскажи чем, его можно потушить?
 
bryanross сказал(а):
криптанул подписал сертом, как именно дампить ?
ЕДР от софоса сразу удаляет файл дмп но сам нанодамп остается в системе незамеченным.
использовал nanodump.x64.exe
может нужен другой билд нанодампа
А дамп с валидной сигнатурой делаешь? Может стоит его попортить, nanodump умеет или вообще никуда его не сохранять - в память и на сервер
 
SpacePirate сказал(а):
А дамп с валидной сигнатурой делаешь? Может стоит его попортить, nanodump умеет или вообще никуда его не сохранять - в память и на сервер
--fork --write c:\temp\ls.dmp
так удается создать дамп, подскажи как иначе с какими парметрами можно сделать?
Может его в запароленный архив можно сразу сохранять или еще чтонибудь подобное.
Я честно не понимаю как сохранить его в память и перенести потом на сервер
 
bryanross сказал(а):
имеешь ввиду указывать унц путь туда где нет софоса?
подскажи чем, его можно потушить?
нужный тебе функционал реазован в скрипте для кобалта. через драйвер
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх