【问题标题】:get dump using nanodump and parse in mimikatz使用 nanodump 获取转储并在 mimikatz 中解析
【发布时间】:2023-01-22 14:57:36
【问题描述】:

我正在使用 nanodump 转储 lsass.exe。 一切正常,但是当我通过以下命令进入 mimikatz 时,出现错误:

mimikatz.exe "sekurlsa::minidump <path/to/dumpfile>" "sekurlsa::logonPasswords full" exit

模拟错误: ERROR kuhl_m_sekurlsa_acquireLSA ; Memory opening

我使用“x64 nanodump ssp dll”和 AddSecurityPackage winapi 附加到 lsass

当我一直在测试时,检测到 nanodump 指定的转储文件大小(默认 => report.docx)与 procmon.exe 完整和迷你转储输出不同。

我的测试:

procmon 已满 = 71 MB procmon 迷你 = 1.6 MB

纳米转储 = 11 MB

我可以通过 nanodump 做什么转储,与 mimikatz::logonpasswords 兼容?

【问题讨论】:

    标签: c visual-studio


    【解决方案1】:

    这是 nano ssp 模块转储的无效文件签名,这个问题通过这个命令解决了:

    [nano git source]/scripts/restore_signature.exe
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-03-08
      • 2020-01-25
      • 1970-01-01
      • 1970-01-01
      • 2023-03-18
      • 1970-01-01
      • 1970-01-01
      • 2021-07-22
      相关资源
      最近更新 更多