LSASS dump

[Marti71]

Всем привет!, АВ сентиел(снес), но одна проблема LSASS.dump недоступен как и запуск сторонних .ехе, я так понимаю Авер на своем уровне в реестре какие то правки вносит, может кто-то ключи подсказать для решения таких проблем?

 

[Peresvet]

Marti71 сказал(а):
Всем привет!, АВ сентиел(снес), но одна проблема LSASS.dump недоступен как и запуск сторонних .ехе, я так понимаю Авер на своем уровне в реестре какие то правки вносит, может кто-то ключи подсказать для решения таких проблем?

Ты просто не снес сентинел, ты частично подбил его процессы, это нормальное поведение для него, что он будет делать вид что его нет, давать дропать тебе любую херню на комп, но не даст запустить, так же как не даст ребутнутся в сейфмод, выполнить сомнительные удаленные команды или сдампить лсасс))) Это Сеня)

 

[kamzzzzz]

Marti71 сказал(а):
Всем привет!, АВ сентиел(снес), но одна проблема LSASS.dump недоступен как и запуск сторонних .ехе, я так понимаю Авер на своем уровне в реестре какие то правки вносит, может кто-то ключи подсказать для решения таких проблем?

Снос = деинсталляция через панель или например тулзой от mkdele ?

 

[DoomSlayer2002]

DoomSlayer2002 сказал(а):
Снос = деинсталляция через панель или например тулзой от mkdele ?

Да я снес похожей тулзой, я просто не понимаю какой процесс еще жив

 

[Marti71]

kamzzzzz сказал(а):
Ты просто не снес сентинел, ты частично подбил его процессы, это нормальное поведение для него, что он будет делать вид что его нет, давать дропать тебе любую херню на комп, но не даст запустить, так же как не даст ребутнутся в сейфмод, выполнить сомнительные удаленные команды или сдампить лсасс))) Это Сеня)

А у тебя нету список служб\процессов от сентиеля? вроде подбил его хорошо и папку аж целую вырезал, не могу отловить какой процесс живой

 

[Marti71]

Peresvet сказал(а):
did you try lsass dumping from visual studio's binary dump64? https://lolbas-project.github.io/lolbas/OtherMSBinaries/Dump64/

you will not have problem with WD ?

 

[gulak]

Marti71 сказал(а):
А у тебя нету список служб\процессов от сентиеля? вроде подбил его хорошо и папку аж целую вырезал, не могу отловить какой процесс живой

Дело не в процессе. Драйвера сентинеля вешают коллбеки через https://learn.microsoft.com/en-us/w...tddk/nf-ntddk-pssetcreateprocessnotifyroutine
Именно поэтому мимикатз какой-нибудь положить на диск можно - но запустить не даёт. Либо ты делаешь ребут тачки и драйвера не загрузятся либо нужна тулза которая имеет возможность читать и писать в ядерную память чтобы занулить колбеки сентинеля, тогда драйвера хоть и будут загружены но реакции никакой не будет. Самое простое - сделать ребут создав локальную учётку на всякий случай перед этим

 

[DoomSlayer2002]

См. обсуждение тут если интересуют тех детали https://xss.is/threads/104352/

 

[DoomSlayer2002]

DoomSlayer2002 сказал(а):
Дело не в процессе. Драйвера сентинеля вешают коллбеки через https://learn.microsoft.com/en-us/w...tddk/nf-ntddk-pssetcreateprocessnotifyroutine
Именно поэтому мимикатз какой-нибудь положить на диск можно - но запустить не даёт. Либо ты делаешь ребут тачки и драйвера не загрузятся либо нужна тулза которая имеет возможность читать и писать в ядерную память чтобы занулить колбеки сентинеля, тогда драйвера хоть и будут загружены но реакции никакой не будет. Самое простое - сделать ребут создав локальную учётку на всякий случай перед этим

Спасибо буду пробовать!

 

[Marti71]

DoomSlayer2002 сказал(а):
Дело не в процессе. Драйвера сентинеля вешают коллбеки через

Если убить сервис драйвера, то кто эти коллбеки будет обрабатывать?

 

[WellDone]

if possible then copy entrie C drive, try to upload somewhere, and get keys from there in your system

 

[ski]

WellDone сказал(а):
Если убить сервис драйвера, то кто эти коллбеки будет обрабатывать?

Получается просто нужно отловить процесс драйвера и грохнуть его?

 

[Marti71]

драйвера работают не так - они все подгружаются в процесс system его ты грохнуть не сможешь само собой. находи и удаляй коллбеки, как выше уже написали