机窝安全--可绕过EDR和PPL保护内存转储工具

POSTDump是ReactOS minidump函数（如nanodump）的C#/.NET实现，从而避免调用Windows API MiniDumpWriteDump函数，它使用几种技术绕过EDR Hook和PPI保护来执行内存转储（lsass）。

例如NanoDump，您可以对小型转储进行加密或使用无效签名；支持使用ProcExp驱动程序转储/终止受保护的进程。

[出自:jiwo.org]

工具参数：

c:\Temp>PostDump.exe --help

-o, --output Output filename [default: Machine_datetime.dmp] (fullpath handled)

-e, --encrypt Encrypt dump in-memory

-s, --signature Generate invalid Minidump signature

--snap Use snapshot technic

--fork Use fork technic [default]

--elevate-handle Open a handle to LSASS with low privileges and duplicate it to gain higher privileges

--duplicate-elevate Look for existing lsass handle to duplicate and elevate

--asr Attempt LSASS dump using ASR bypass (win10/11/2019) (no signature/no encrypt)

--driver Use Process Explorer driver to open lsass handle (bypass PPL) and dump lsass

--kill [processID] Use Process Explorer driver to kill process and exit

--help Display this help screen.

--version Display version information.

--------------------------------------------------------------------------------------------------------------- 左上角导航栏那么明显的“下载”按链接你看不见，那就点这儿下载　吧！

评论

发表评论


顶	踩