Дамп памяти LSASS

[voldemort]

Как сделать дамп памяти процесса lsass.exe в последней версии Windows 11 ?

 

[adewe89]

Как сделать дамп памяти процесса lsass.exe в последней версии Windows 11 ?

Использование Task Manager (Диспетчер задач)​

• Откройте Диспетчер задач (Ctrl+Shift+Esc).
• Перейдите на вкладку Подробности (Details).
• Найдите процесс lsass.exe.
• Правый клик → Создать дамп файла (Create dump file).
• Файл будет сохранён, путь к нему будет отображён.

 

[voldemort]

Использование Task Manager (Диспетчер задач)​

• Откройте Диспетчер задач (Ctrl+Shift+Esc).
• Перейдите на вкладку Подробности (Details).
• Найдите процесс lsass.exe.
• Правый клик → Создать дамп файла (Create dump file).
• Файл будет сохранён, путь к нему будет отображён.

Серьёзно, братан, на последней версии Windows это больше не работает.
Microsoft значительно укрепила защиту LSASS в последние годы:

• Protected Process Light (PPL): Предотвращает доступ к памяти LSASS даже для процессов уровня SYSTEM, если они не подписаны сертификатами, доверенными Microsoft.
• Virtualization-Based Security (VBS): Изолирует критически важные для безопасности компоненты, делая традиционные методы дампа памяти неэффективными.
• Credential Guard: Запускает часть функциональности LSASS в изолированном контейнере на основе Hyper-V, что во многих случаях делает даже попытки доступа к памяти бесполезными.
• Защита от несанкционированного доступа в Microsoft Defender и EDR-решениях: Активно отслеживает попытки доступа или вмешательства в LSASS, часто завершая нарушающие процессы или полностью блокируя действие.

 

[adewe89]

Серьёзно, братан, на последней версии Windows это больше не работает.
Microsoft значительно укрепила защиту LSASS в последние годы:

• Protected Process Light (PPL): Предотвращает доступ к памяти LSASS даже для процессов уровня SYSTEM, если они не подписаны сертификатами, доверенными Microsoft.
• Virtualization-Based Security (VBS): Изолирует критически важные для безопасности компоненты, делая традиционные методы дампа памяти неэффективными.
• Credential Guard: Запускает часть функциональности LSASS в изолированном контейнере на основе Hyper-V, что во многих случаях делает даже попытки доступа к памяти бесполезными.
• Защита от несанкционированного доступа в Microsoft Defender и EDR-решениях: Активно отслеживает попытки доступа или вмешательства в LSASS, часто завершая нарушающие процессы или полностью блокируя действие.

Использование WinDbg (отладчик)​

• Запустите WinDbg от имени администратора.
• Подключитесь к процессу lsass.exe.
• Выполните команду .dump /ma C:\path\to\lsass.dmp.

УÑÑановка WinDbg - Windows drivers

ÐзнакомÑÑеÑÑ Ñ Ð¾Ð±Ñими ÑведениÑми об оÑладÑике Windows и ÑÑÑановке WinDbg.

learn.microsoft.com

 

[society]

Использование WinDbg (отладчик)​

• Запустите WinDbg от имени администратора.
• Подключитесь к процессу lsass.exe.
• Выполните команду .dump /ma C:\path\to\lsass.dmp.

УÑÑановка WinDbg - Windows drivers

ÐзнакомÑÑеÑÑ Ñ Ð¾Ð±Ñими ÑведениÑми об оÑладÑике Windows и ÑÑÑановке WinDbg.

learn.microsoft.com

Зачем ты отправляешь ответы с LLM?

 

[secidiot]

Через WerFaultSecure.exe (легит из Sytem32) на последней win 11 с edr запускал через havoc bof PPL. Потом через MiniDump распарсить.

 

[voldemort]

Через WerFaultSecure.exe (легит из Sytem32) на последней win 11 с edr запускал через havoc bof PPL. Потом через MiniDump распарсить.

Посмотреть вложение 110471

С привилегией NT AUTHORITY/SYSTEM ?

 

[WitchDoctor]

How to dump the memory of the lsass.exe process in the latest version of Windows 11?

Everything changes in Windows 11.
About 1 month ago, windows change save NTLM hash in lsass process.
read about Lsalso.exe

 

[Gemfory_]

1. загружаешь драйвер с правами систем
2. драйвер получает получает PID lsass.exe
3. находит его физические страницы в памяти
4. читает напрямую через MmMapIoSpace
5. и копирует дамп в пользовательское пространство

 

[Gemfory_]

1. загружаешь драйвер с правами систем
2. драйвер получает получает PID lsass.exe
3. находит его физические страницы в памяти
4. читает напрямую через MmMapIoSpace
5. и копирует дамп в пользовательское пространство

кста не
если включен CG то у тебя не получится так сделать
условно вот ты находишь способ, у тебя есть драйвер с подписью, твоя цель проста: изменить структуру eprogress и понизить права lsaac обходя ppl и условно, попробовать сдампить память.

но если включен CG, ты них:я не сможешь сделать потому что lsaac охраняется HVCI на уровне VTL-1, ядро находится на уровне VTL-0, архитектурно работает так, что из 0 в 1 не посмотришь.
тебе нужна уязвимость непосредственно в самом гипервизора, а если она и будет, то лучше ее продать как баг майкрософт, законно большие бабки залутаешь

 

[Gemfory_]

а еще можно попробовать до загрузки vbs чет сделать
но тебе придется уязвимость искать в uefi и это будет знаешь, как буткит типа.
но если захочешь расфорсить свой малварь ты должен будешь иметь физический доступ к пк, т.к невозможно сделать так, чтобы малварь из режима пользователя дошла до уровня загрузчика

 

[Alzheimer]

а еще можно попробовать до загрузки vbs чет сделать
но тебе придется уязвимость искать в uefi и это будет знаешь, как буткит типа.
но если захочешь расфорсить свой малварь ты должен будешь иметь физический доступ к пк, т.к невозможно сделать так, чтобы малварь из режима пользователя дошла до уровня загрузчика

Кто его знает, может он нашел 0day уязвимость))