一个基于C#的内存转储(LSASS)工具 可以绕过EDR检测

工具介绍

PostDump是一个C#工具，由卢森堡POST的COS团队（网络攻击和安全）开发。

它是另一个执行内存转储（lsass）的简单工具，使用几种技术绕过EDR挂钩和lsass保护。

与EDRS和Blast等工具不同的是，它只关注解开转储内存所严格需要的函数，因此通过使用DInvoke来映射所需的解钩DLL来完成。NtReadVirtualMemory是个例外，如果检测到钩子，就会动态修补。

项目在不断改进（钩子检测，直接系统调用）

工具地址

详细使用方法及工具下载参考

https://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump

使用方法

C:\Temp>PostDump.exe

[*] NtReadVirtualMemory: HOOKED! Patching...
[*] NtReadVirtualMemory --> NOT Hooked!

[*] NtOpenProcess: NOT Hooked!
[*] Real Process Handle: 728

[*] PssCaptureSnapshot: NOT Hooked!
[*] Snapshot succeed! Duplicate handle: 1549097566208

[*] MiniDumpWriteDump: NOT Hooked!
[*] Duplicate dump successful. Dumped 49737034 bytes to: c:\Temp\yolo.log

 

标签：工具分享