OS Credential Dumping: Security Account Manager
Ver en attack.mitre.org →7 syscalls implementan esta técnica
- NtOpenKey
Abre una clave de registro existente — entrada del kernel detrás de RegOpenKeyEx, usada para alcanzar las hives SAM, SECURITY y de persistencia.
- NtOpenKeyEx
Variante extendida de NtOpenKey con OpenOptions — necesaria para seguir enlaces simbólicos y aperturas con semántica backup.
- NtLoadKey
Monta un archivo de hive de registro bajo una clave objetivo — el syscall detrás de la carga offline de SAM/SYSTEM.
- NtLoadKey2
Carga una colmena de registro en el árbol de configuración mediante un envoltorio de 2 banderas sobre NtLoadKey.
- NtLoadKeyEx
Syscall moderno de carga de colmena — respalda RegLoadKeyW, RegLoadAppKeyW y la virtualización de registro de AppContainer.
- NtUnloadKey
Desmonta una colmena del registro previamente cargada del gestor de configuración.
- NtSaveKey
Escribe una clave de registro viva (con subárbol) a un archivo hive — la cara kernel del robo de SAM/SECURITY.