WinHandKill

一个用于 x64dbg 的插件，允许你 Hook **Local Security Authority Subsystem Service** 进程，利用 SeDebugPrivilege 提权从操作系统中提取所有可能的 TLS（握手、导入、导出或生成时）密钥，从而使恶意软件分析更快捷、更简单。  ## 如何使用 在使用之前，阅读我在这里推荐的文章至关重要。它将解释从插件工作原理到如何使用的详细步骤的所有内容，甚至包括应用于真实恶意软件样本的案例。我还将提供操作系统的确切版本以及在你自己的虚拟机（VM）中应用它所需的一切。 有两个版本可供阅读，第一个当然是大家都懂的语言，英语： [点击此处阅读并了解该项目。](https://keowu.re/posts/Malware-Analysis-Writeup-Bat-Stealer(Chine-Encode)-and-introduzing-WinHandKill-X64DBG-Plugin-English/) 葡萄牙语版本：Se você fala português, você não necessariamente precisa falar inglês para usar, você poder ler no seu idioma nativo: [Clique aqui para ler e entender o projeto](https://keowu.re/posts/Malware-Analysis-Writeup-Bat-Stealer(Chine-Encode)-and-introduzing-WinHandKill-X64DBG-Plugin-Portugues/) #### 使用视频 视频很快会录制（你可以通过录制你母语的视频来协作）。 ## 如何构建 你需要使用 Visual Studio 控制台。我推荐 Visual Studio 2022，当然，你需要通过 Visual Studio Installer 安装 CMake。 一切准备就绪后，你只需打开 Visual Studio 控制台并在项目根目录中键入以下命令： ``` cmake -B build64 -A x64 cmake --build build64 --config Release ``` 之后，你需要打开生成的 Visual Studio 项目并进行编译。 ## 如何协作 我需要扩展该项目，你能通过将你的 "ncrypt.dll" 和你的操作系统版本附加到 issue 中来帮助我吗？或者你甚至可以用代码进行协作（为此，请提出一个 issue 以便我们讨论并授予你在分支上的权限）。

标签：Bash脚本, Conpot, DAST, EDR/AV绕过, Handshake, JARM, LSASS钩子, SeDebugPrivilege, SSH蜜罐, SSL/TLS, TLS密钥提取, Windows安全, x64dbg插件, 云资产清单, 内存分析, 安全调试, 恶意软件分析, 流量解密, 端点可见性, 进程注入, 逆向工程