Dumpert:LSASS内存转储器，使用直接系统调用和API脱钩

Dumpert，使用直接系统调用和API脱钩的LSASS内存转储器 最近的恶意软件研究表明，使用直接系统调用来逃避安全产品使用的用户模式API挂钩的恶意软件有所增加。 该工具演示了如何使用直接系统调用和API取消钩子，并将这些技术结合到概念证明代码中，该代码可用于使用Cobalt Strike创建LSASS内存转储，而无需接触磁盘并逃避AV / EDR监控的用户模式API电话。 有关使用的技术的更多信息，请参见以下博客： : 包含两个版本的代码： 该代码的可执行文件和DLL版本。 DLL版本可以按以下方式运行： rundll32.exe C:\Dumpert\Outflank-Dumpert.dll,Dump 此外，还提供了该代码的sRDI版本，其中包括Cobalt Strike攻击者脚本。 此脚本使用shinject将dumpert DLL的sRDI shellcode版本注