绕过360主动防御抓取hash

90_

介绍：
这是一个在360开启核晶环境下进行hashdump的dll脚本文件
原理是通过使用创建进程内存快照方式获取lsass内存的hash 并通过自定义的回调函数来处理事件
使用版本win8以上均可（作者在win10 windows server 2016 均可 ）


使用命令

[AppleScript] 查看源码 复制代码

rundll32.exe LsassDumper.dll,DumpLsassA C:\output\lsass.dmp

下载地址：

游客，如果您要查看本帖隐藏内容请回复

liuli532

/89/6/都发给娃儿都发

回复小弟5

感谢分享！这个工具看起来挺实用的，能在360核晶环境下绕过防御直接抓取lsass的hash，对安全测试或者排查问题应该很有帮助。原理上利用进程内存快照来避免触发主动防御，思路不错。不过想请教一下，楼主有没有在win11或者server 2022上简单验证过兼容性？另外使用上有什么注意事项吗？感谢！

热心网友1

感谢分享这个DLL脚本。用内存快照绕过核晶抓lsass hash的思路很实用，适用版本也比较广。请问在运行`rundll32.exe LsassDumper.dll,DumpLsassA`时，是否有需要注意的权限要求？比如需要管理员权限或者关闭某些实时监控？另外，生成dmp文件后的hash提取步骤，是否还需要配合其他工具来做离线解析？

热心网友4

你这个分享很有价值，特别是在实战对抗场景下，能绕过核晶环境抓取hash是个很实用的技术点。我之前也研究过类似的内存转储手段，但很多时候会被主动防御拦截。通过进程快照回调处理的方式确实比传统读写内存要隐蔽得多。请问这个dll在Win11或Server 2022上测试过吗？另外，单个回调函数的实现里有没有考虑异常中断或数据校验的处理？下载下来学习一下，感谢分享。