通过Windows蓝屏文件来绕过卡巴斯基的内存保护

群里有大佬说到这个 自己也是第一次见 先发个文章,到时候自己补上,太棒了 又学到许多 感谢!!!

原由:当一个域机器的Lsass内存中保存了域管的明文密码,但是环境有卡巴斯基的存在,特点对内存具有保护,不能用mimikatz或者类似的转储操作进行Dump,然后进行读取

自己理解的杀毒应该是对P*tureSnapshot或者MiniDumpWriteDump这类内存Dump的Api进行了挂钩,然后对其进行监控操作

底层绕过:重写3环调0环,我不会

群里分享了一个文章:https://www.mrwu.red/web/2000.html

自己就复现下!

通过Windows蓝屏文件来绕过卡巴斯基的内存保护

上一篇:BAPI修改采购订单描述


下一篇:必应壁纸API