群里有大佬说到这个 自己也是第一次见 先发个文章,到时候自己补上,太棒了 又学到许多 感谢!!!
原由:当一个域机器的Lsass内存中保存了域管的明文密码,但是环境有卡巴斯基的存在,特点对内存具有保护,不能用mimikatz或者类似的转储操作进行Dump,然后进行读取
自己理解的杀毒应该是对PssCaptureSnapshot
或者MiniDumpWriteDump
这类内存Dump的Api进行了挂钩,然后对其进行监控操作
底层绕过:重写3环调0环,我不会
群里分享了一个文章:https://www.mrwu.red/web/2000.html
自己就复现下!