文章总结： 本文介绍了利用Windows错误报告中的WerFaultSecure二进制文件转储LSASS进程内存的技术，该技术可绕过现代Windows系统中LSASS进程的PPL保护机制提取凭据。文章详细说明了WSASS工具的使用方法，包括以PPL权限执行WerFaultSecure、用PNG魔术头替换转储文件头以及恢复LSASS进程操作的步骤。同时提供了多种检测方法，如监控非系统路径下的WerFaultSecure执行、异常命令行参数和大型PNG文件创建等，建议SOC团队启用进程创建和文件系统审核策略以增强检测能力。 综合评分： 85 文章分类： 渗透测试,红队,漏洞分析,内网渗透,实战经验

proc.png 的 MiniDump 头被替换成了 PNG 头。

BYTE data[4] = { 0x89, 0x50, 0x4E, 0x47 };

可以通过启用对象访问审核策略（Object Access Audit Policies）中的以下子类别来捕获文件类型事件并构建查询：

1. 审核文件系统（Audit File System）
2. 审核句柄操作（Audit Handle Manipulation）

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Object Access

下表总结了检测该技术所需的数据源和数据组件。

请在微信客户端打开

| 数据源 | 数据组件 | 检测内容 | | — | — | — | | Windows 事件 | 4656 | 对象的句柄请求 | | Windows 事件 | 4663 | 访问 MiniDump 的进程 | | Windows 事件 | 4688 | 进程创建 | | Sysmon | 1 | 进程创建和命令行 | | Sysmon | 11 | 文件创建 |

现代端点检测与响应（EDR）系统，特别是具有机器学习能力的系统，应该能够检测这些活动并发出警报。SOC 团队应该在他们的网络中模拟该技术，以识别可见性和检测差距，并启用额外的数据源来辅助威胁狩猎和检测工程活动。

如果你对网络安全、红队攻防技术充满热情，渴望学习更多实战技巧，例如渗透测试、自动化脚本编写、免杀技术等， 欢迎关注我的公众号

在这里，我会持续分享更多高质量的技术文章，与你一同探索网络安全的奥秘，提升实战技能！ 让我们一起在队攻防的道路上，不断精进，突破边界！

免责声明： 本文仅供安全技术研究与学习交流之用。 严禁将本文所提及的技术用于任何非法用途，包括但不限于未经授权的渗透测试、网络攻击、恶意代码传播等。

查看原文：《利用Windows 错误报告转储 LSASS 内存》