探秘RToolZ：LSASS Dumping的新星

2024-05-21 23:09:19作者：袁立春Spencer

RToolZ是一款低调而强大的工具，它利用ProcExp152.sys驱动程序来巧妙地dump PPL（Protected Process Light）的LSASS内存。这个项目不仅在技术上独树一帜，而且专为那些寻求安全方法获取LSASS信息的专家们打造。

RToolZ的独特之处在于它不依赖于MiniDump或dbghelp库的方法，而是采用手动的方式来执行dump过程，同时还通过移除不必要的DLL以减小dump文件的大小。项目提供了三种不同的dump方法：

直接使用系统调用来获取LSASS句柄。
请求具有PROCESS_CREATE_PROCESS权限的LSASS句柄，创建一个名为LSASS的新进程并对其进行fork，以获得对lsass.exe的PROCESS_ALL_ACCESS权限——一种形式的句柄权限提升。
当PROCEXP152.sys驱动加载时，这种方法将获取驱动的HANDLE，并滥用它来获取LSASS.exe进程的HANDLE。这可以绕过"RunAsPPL"的LSASS防御机制。只需先运行.\procexp64.exe -accepteula /t，然后使用第三种dump方法即可。

此外，RToolZ还提供了一些命令行选项，如--valid用于生成非随机化签名的dump，--write指定dump保存路径，-m选择方法，以及-p指定LSASS进程ID。

对于安全研究人员和渗透测试人员来说，RToolZ是一个无价之宝。它可以用于模拟攻击行为，测试系统的防御能力，尤其是在面对“RunAsPPL”保护的环境时。此外，对于故障排查和恶意软件分析，能够获取LSASS内存的信息也是至关重要的。

总体而言，RToolZ是安全研究领域的一个值得关注的开源工具，它的出现为LSASS内存分析带来了新的可能。如果你热衷于系统安全和逆向工程，那么RToolZ绝对值得你尝试。

登录后查看全文