绕过 defender、360 导出 Lsass.exe 内存工具

免责声明

锦鲤安全的技术文章仅供参考，此文所提供的信息仅供网络安全人员学习和参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。如有侵权烦请告知，我们会立即删除并致歉。本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！谢谢！

说明

dump lsass.exe 内存工具，简单做了一下静态免杀，静态过 defender，360qvm 会杀，可以自行转 shellcode 用加载器免杀。

可以过 defendr 和 360 核晶 dump lsass 内存。

使用

1. 导出加密的 lsass.exe 内存

以管理员身份执行，自动提权至 system 并导出加密的 Lsass.exe 内存至

C:\lsas_e.dmp

2. 解密 lsas_e.dmp

执行如下命令输出解密的 lsas_d.dmp 文件：

dumplsas.exe delsas <lsas_e.dmp文件路径>