【网络安全一百问-99】提取内存hash时被查杀,如何绕过?

请先 登录 后评论

1 个回答

空城 - 安全小菜鸡

1、Procdump.exe

Procdump是微软官方发布的工具,使用该工具可以把lsass的内存dump下来,可以绕过大多数的防护软件。

2、SqlDumper.exe

SqlDumper也属于微软出品,存在于SQL Server文件夹中,大多数杀软不会拦截。

默认存放在C:\Program Files\Microsoft SQL Server\number\Shared,number代表SQL Server的版本。

如果目标机器没有安装SQL Server,可以自己上传SqlDumper.exe。

3、powershell免杀

结合powershell的免杀,加载Invoke-Mimikatz.ps1脚本获取密码hash。

使用命令远程加载ps1脚本


请先 登录 后评论

相似问题