OS Credential Dumping: Security Account Manager
Auf attack.mitre.org ansehen →7 Syscalls implementieren diese Technik
- NtOpenKey
Öffnet einen bestehenden Registrierungsschlüssel — Kernel-Einstieg hinter RegOpenKeyEx, genutzt für SAM-, SECURITY- und Persistenz-Hives.
- NtOpenKeyEx
Erweiterte Variante von NtOpenKey mit OpenOptions — erforderlich für Symlink-Folgen und Backup-Semantik-Öffnung.
- NtLoadKey
Mountet eine Registry-Hive-Datei unter einem Zielschlüssel — der Syscall hinter dem Offline-Laden von SAM/SYSTEM.
- NtLoadKey2
Lädt einen Registry-Hive in den Konfigurationsbaum über einen 2-Flag-Wrapper um NtLoadKey.
- NtLoadKeyEx
Moderner Hive-Load-Syscall — Basis für RegLoadKeyW, RegLoadAppKeyW und die AppContainer-Registry-Virtualisierung.
- NtUnloadKey
Hängt einen zuvor geladenen Registry-Hive vom Konfigurationsmanager ab.
- NtSaveKey
Schreibt einen lebenden Registry-Schlüssel (mitsamt Teilbaum) in eine Hive-Datei — die Kernel-Seite des SAM/SECURITY-Diebstahls.