• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR dump lsass with active AV

Отслеживать
What OS version is it? Does it have AMSI? if no then use powerkatz (powershell mimikatz). If it does have AMSI then kill it or just kill the AV all together. You could extract the sam.hive from a shadow volume copy too but that won't help with lsass if you specifically need that.

Какая это версия ОС? Есть ли у него AMSI? Если нет, то используйте PowerKatz (PowerShell MimiKatz). Если у него есть AMSI, то убейте его или просто убейте AV все вместе. Вы также можете извлечь sam.hive из копии теневого тома, но это не поможет с lsass, если вам это нужно.
 
Guest сказал(а):
Download process explorer or system informer and run as administrator and create dump file for lsass.exe
ZeroCorp сказал(а):
What OS version is it? Does it have AMSI? if no then use powerkatz (powershell mimikatz). If it does have AMSI then kill it or just kill the AV all together. You could extract the sam.hive from a shadow volume copy too but that won't help with lsass if you specifically need that.

What OS version is this? Does it have AMSI? If not, then use PowerKatz (PowerShell MimiKatz). If he has AMSI, then kill him or just kill the AV all together. You can also extract sam.hive from a shadow volume copy, but that won't help with lsass if that's what you need.
windows2008 r2 windows server 2012 r2
 
TheExample сказал(а):
hello there, we want to dump lsass
*By Kaspersky
How can to dump the lsass process From memory Image?
Besides Volatility, is there any other method or tool for this?
"We want to dump LSASS without restart the server"
we dont need sam.hive,
other user logined in server admin in the DC
we need hash / password other user
sam.hive just show the local hashes
 
Guest сказал(а):
Psexec.exe -accepteula -i -s %SystemRoot%\System32\cmd.exe
procdump64.exe -accepteula -64 -ma lsass.exe lsass.dmp
You can try to dump the proccess as NT AUTHORITY\\SYSTEM, otherwise just restart it.
Ты пишешь теорию из манов басстера и Ельцына) А на практике твой процдамп, авер (в данном случае каспер) снесёт и алерт будет. С таким пабликом только сетки убиваете. Админы сразу палят. Ты сначало на практике с авером проверь, потом такие советы давай
 
Eleven сказал(а):
You are writing a theory from the mana of Buster and Yeltsin) But in practice, your processdump, alert (in this case, Casper) will be blown away and there will be an alert. With such a public you only kill the networks. The admins immediately fire. First, check it in practice with Aver, then give such advice
++
 
3ToN сказал(а):
think about the options for remote lsass dump, then you will find the tools)

3ToN сказал(а):
подумай над вариантами удаленного дампа lsass, тогда и инструменты найдешь)
take it easy ))
this toipc is made for guidance give some hint
 
Eleven сказал(а):
Ты пишешь теорию из манов басстера и Ельцына) А на практике твой процдамп, авер (в данном случае каспер) снесёт и алерт будет. С таким пабликом только сетки убиваете. Админы сразу палят. Ты сначало на практике с авером проверь, потом такие советы давай
I don't know who those characters are.
 
TheExample сказал(а):
TheExample сказал(а):
Посмотреть вложение 85192

ok ((
It sounds like LSA Protection is enabled (I didn't know it was available on 2008R2 and 2012R2 but it looks like it is) If you could modify the reg entry for >> "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" and set the value of "RunAsPPL" to = 0 or delete the value then it would disable the protected process but that requires a restart to work. There's nothing you can do without a driver to dump the process with kernel privs higher than PPL. Killing the AV won't fix your problem because the lsa process will still be a protected and only the kernel can give you privs to dump it so you need a driver loader that allows command execution so you can run procdump from it with kernel privs if a restart is not possible.



Похоже, что LSA Protection включена (я не знал, что она была доступна на 2008R2 и 2012R2, но похоже, что это так) Если бы вы могли изменить запись регистрации для >> "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" и установить значение "RunAsPPL" в = 0 или удалить значение, то это отключило бы защищенный процесс, но для его работы требуется перезапуск. Вы ничего не можете сделать без драйвера для дампа процесса с привилегиями ядра выше, чем PPL. Уничтожение антивируса не решит вашу проблему, потому что процесс lsa по-прежнему будет защищен, и только ядро может предоставить вам привилегии для его сброса, поэтому вам нужен загрузчик драйверов, который позволяет выполнять команды, чтобы вы могли запустить procdump из него с помощью privs ядра, если перезапуск невозможен.
 
https://github.com/fortra/nanodump - 360, каспер и прочее не орет, если процесс куда вы заинжектились нормально пропатчен, повышен и не палится ав изначально. Есть секция и про ppl , но не приходилось использовать ( работало все по дефолту). С едр не сталкивался, хз как оно на это отреагирует. А вообще в тг и на гите полно всяких мимикатцев без мимикатца и лсасс без касания лсасс. Поставь каспера на машину - тести сколько влезет. https://github.com/Meowmycks/LetMeowIn (вот якобы и едры обходит)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх