← Zurück zum ATT&CK-Index
T1003.004sub-technique
OS Credential Dumping: LSA Secrets
Auf attack.mitre.org ansehen →4 Syscalls implementieren diese Technik
- NtOpenKey
Öffnet einen bestehenden Registrierungsschlüssel — Kernel-Einstieg hinter RegOpenKeyEx, genutzt für SAM-, SECURITY- und Persistenz-Hives.
- NtOpenKeyEx
Erweiterte Variante von NtOpenKey mit OpenOptions — erforderlich für Symlink-Folgen und Backup-Semantik-Öffnung.
- NtLoadKey
Mountet eine Registry-Hive-Datei unter einem Zielschlüssel — der Syscall hinter dem Offline-Laden von SAM/SYSTEM.
- NtSaveKey
Schreibt einen lebenden Registry-Schlüssel (mitsamt Teilbaum) in eine Hive-Datei — die Kernel-Seite des SAM/SECURITY-Diebstahls.