Dump lsass

Dump LSASS进程

lsass进程不多赘述，相当于winlogon服务的一个验证进程，很多攻击主要是通过lsass.exe进程中获取当前登陆系统用户名和密码

本来在开心写论文，结果overleaf突然全面崩盘，没准备本地环境，无聊刷了刷tw，看到了mr.d0x大神的发现

简单复现以下这个工具的使用，主机使用win11预览版进行测试

DumpMinitool.exe --file xxx.txt --processID lsass --dumpType Full

成功dump掉，没报错但是需要一个当前系统的高权限进行执行（火绒啥的后台都正常运行）

然后用minikatz离线解密

sekurlsa::minidump xxx.txt

随后可以直接列出所有可用的提供者的凭据

后面跟着的github和gitee的密码都是我个人所用的密码，用户名什么也匹配，复现完成

这个工具本身也是微软开发的，基本不存在被攻击的可能性，直接用vs2022里面的对应程序即可

大为震惊，但是还是想真心发问，overleaf什么时候修好（大雾