lsassStealer 项目亮点解析

项目的基础介绍

Morpheus 是一个旨在进行安全测试的内存分析工具，它专注于提取 Windows 系统中的 lsass.exe 进程内存。该工具通过在内存中操作，避免在磁盘上留下任何痕迹，从而安全地进行数据分析。Morpheus 利用 NTP 协议进行通信，将分析的数据以加密形式通过标准 NTP 包发送出去，这种做法旨在符合网络安全规范。

项目代码目录及介绍

项目的主要目录结构如下：

• LICENSE：项目的 MIT 许可证文件。
• README.md：项目说明文件，包含了项目的基本信息、使用方法和法律声明。
• morpheus.c：主程序文件，用于实现内存分析功能。
• run.ps1：PowerShell 脚本，用于启动内存分析程序。
• server.py：Python 服务器脚本，用于接收分析的数据。
• server.ps1：PowerShell 服务器脚本，功能同 server.py。

项目亮点功能拆解

• 内存分析：Morpheus 直接在内存中操作，避免了传统磁盘写入的痕迹。
• 数据加密：使用 RC4 加密算法对数据进行加密，保证传输过程的安全性。
• 标准网络传输：通过标准 NTP 数据包传输数据，安全性高，符合网络规范。
• 错误纠正：实现了 Reed-Solomon 错误纠正码，增强了数据传输的可靠性。

项目主要技术亮点拆解

• 间接系统调用：通过动态加载 Advapi32 来提升权限，无需磁盘上的stub文件。
• 内存压缩：使用 zlib 对内存转储进行压缩，减小数据体积并降低熵值。
• 数据分片与重传：数据被分片传输，并可通过重传来确保完整性。
• 随机延时与标准传输：在数据包之间引入随机延时，并发送标准 NTP 数据包作为干扰。

与同类项目对比的亮点

相较于其他内存分析工具，如 Mimikatz 或 procdump，Morpheus 的主要亮点在于其安全性和规范性。它通过避免磁盘写入、使用加密传输、以及标准网络协议，使得它更符合安全规范。此外，Morpheus 的错误纠正机制确保了即使在网络不稳定的情况下也能完成数据传输。