Marti71 сказал(а):
Всем привет!, АВ сентиел(снес), но одна проблема LSASS.dump недоступен как и запуск сторонних .ехе, я так понимаю Авер на своем уровне в реестре какие то правки вносит, может кто-то ключи подсказать для решения таких проблем?
Marti71 сказал(а):
Всем привет!, АВ сентиел(снес), но одна проблема LSASS.dump недоступен как и запуск сторонних .ехе, я так понимаю Авер на своем уровне в реестре какие то правки вносит, может кто-то ключи подсказать для решения таких проблем?
DoomSlayer2002 сказал(а):
Снос = деинсталляция через панель или например тулзой от mkdele ?
kamzzzzz сказал(а):
Ты просто не снес сентинел, ты частично подбил его процессы, это нормальное поведение для него, что он будет делать вид что его нет, давать дропать тебе любую херню на комп, но не даст запустить, так же как не даст ребутнутся в сейфмод, выполнить сомнительные удаленные команды или сдампить лсасс))) Это Сеня)
Peresvet сказал(а):
did you try lsass dumping from visual studio's binary dump64? https://lolbas-project.github.io/lolbas/OtherMSBinaries/Dump64/
Marti71 сказал(а):
А у тебя нету список служб\процессов от сентиеля? вроде подбил его хорошо и папку аж целую вырезал, не могу отловить какой процесс живой
DoomSlayer2002 сказал(а):
Дело не в процессе. Драйвера сентинеля вешают коллбеки через https://learn.microsoft.com/en-us/w...tddk/nf-ntddk-pssetcreateprocessnotifyroutine
Именно поэтому мимикатз какой-нибудь положить на диск можно - но запустить не даёт. Либо ты делаешь ребут тачки и драйвера не загрузятся либо нужна тулза которая имеет возможность читать и писать в ядерную память чтобы занулить колбеки сентинеля, тогда драйвера хоть и будут загружены но реакции никакой не будет. Самое простое - сделать ребут создав локальную учётку на всякий случай перед этим
DoomSlayer2002 сказал(а):
Дело не в процессе. Драйвера сентинеля вешают коллбеки через
WellDone сказал(а):
Если убить сервис драйвера, то кто эти коллбеки будет обрабатывать?