TwoSevenOneT/WSASS

### WSASS 这是一个利用旧版 WerfaultSecure.exe 程序转储受 PPL（保护进程轻量级）保护的进程内存的工具，例如 LSASS.EXE。 输出格式为 Windows MINIDUMP。 *此工具会自动将文件头的 __"MDMP"__ 魔术字节替换为 PNG 格式的魔术字节。* *转储完成后，需要将文件开头的这 4 个字节恢复为原始的 __{0x4D, 0x44, 0x4D, 0x50}__ 即 "MDMP"。* ### 命令行语法 **WSASS.exe <目标进程PID>** *示例：__WSASS.exe C:\TMP\WerfaultSecure.exe 888__* ## 链接 [使用 WSASS 转储 LSASS](https://www.zerosalarium.com/2025/09/Dumping-LSASS-With-WER-On-Modern-Windows-11.html) [无需驱动程序以 PPL 运行进程的工具](https://github.com/TwoSevenOneT/CreateProcessAsPPL) ## 演示视频 Youtube：[https://www.youtube.com/watch?v=FZ20oQ-pVwg](https://www.youtube.com/watch?v=FZ20oQ-pVwg) ## 安全研究人员与黑客工具 每位安全研究人员和黑客都应具备的基本工具集： [安全研究人员与黑客必备工具](https://www.zerosalarium.com/p/essential-tools-for-security-researcher.html) ## 阅读材料 为提升网络安全技能（特别是攻防安全领域）应阅读的书籍： [Zero Salarium 研究员推荐的编程与网络安全书籍](https://www.zerosalarium.com/2025/10/books-on-programming-and-cybersecurity-recommended.html) ## 作者： [Two Seven One Three](https://x.com/TwoSevenOneT)

标签：Conpot, DAST, LSASS, MINIDUMP, PPL绕过, Ruby on Rails, UML, WerfaultSecure.exe, Windows 11, Windows安全, 内存转储, 凭证转储, 哈希破解, 密码恢复, 恶意软件分析, 操作系统安全, 攻击技术, 攻击路径可视化, 进程转储, 黑客工具