OS Credential Dumping: LSASS Memory
Auf attack.mitre.org ansehen →8 Syscalls implementieren diese Technik
- NtReadVirtualMemory
Liest Bytes aus dem virtuellen Adressraum eines Zielprozesses in einen vom Aufrufer bereitgestellten Puffer.
- NtOpenProcess
Öffnet ein Handle auf einen existierenden Prozess mit einer angeforderten Zugriffsmaske.
- NtSuspendThread
Erhöht den Suspend-Zähler eines Ziel-Threads und hält dessen Ausführung an.
- NtCreateToken
Erzeugt ein Access-Token von Grund auf mit frei wählbarem Benutzer, Gruppen, Privilegien, Owner, Standard-DACL und Quelle — durch SeCreateTokenPrivilege geschützt.
- NtQuerySystemInformation
Liest eine systemweite Informationsklasse aus — Prozessliste, Kernel-Handle-Tabelle, geladene Treiberliste, Code-Integritäts-Status und mehr.
- NtReadFile
Liest Bytes aus einer Datei, einem Gerät, einer benannten Pipe oder einer gemappten Section in einen User-Puffer — Kernel-Primitive hinter ReadFile.
- NtDuplicateObject
Dupliziert ein Handle aus einem Quellprozess in einen Zielprozess, optional mit Anpassung der Zugriffsrechte oder Schließung der Quelle.
- NtQueryObject
Liefert Metadaten zu einem Kernel-Objekt-Handle: Basisinfo, Name, Typ oder systemweite Typtabelle.