← Volver al índice ATT&CK
T1003.004sub-technique
OS Credential Dumping: LSA Secrets
Ver en attack.mitre.org →4 syscalls implementan esta técnica
- NtOpenKey
Abre una clave de registro existente — entrada del kernel detrás de RegOpenKeyEx, usada para alcanzar las hives SAM, SECURITY y de persistencia.
- NtOpenKeyEx
Variante extendida de NtOpenKey con OpenOptions — necesaria para seguir enlaces simbólicos y aperturas con semántica backup.
- NtLoadKey
Monta un archivo de hive de registro bajo una clave objetivo — el syscall detrás de la carga offline de SAM/SYSTEM.
- NtSaveKey
Escribe una clave de registro viva (con subárbol) a un archivo hive — la cara kernel del robo de SAM/SECURITY.