OS Credential Dumping: LSASS Memory
Voir sur attack.mitre.org →8 syscalls implémentent cette technique
- NtReadVirtualMemory
Lit des octets de l'espace d'adressage virtuel d'un processus cible vers un tampon fourni par l'appelant.
- NtOpenProcess
Ouvre un handle vers un processus existant avec un masque d'accès demandé.
- NtSuspendThread
Incrémente le compteur de suspension d'un thread cible, arrêtant son exécution.
- NtCreateToken
Forge un token d'accès de toutes pièces avec utilisateur, groupes, privilèges, owner, DACL par défaut et source — protégé par SeCreateTokenPrivilege.
- NtQuerySystemInformation
Récupère une classe d'informations à l'échelle du système — liste des processus, table des handles noyau, liste des pilotes chargés, état d'intégrité du code, et plus.
- NtReadFile
Lit des octets depuis un fichier, périphérique, pipe nommé ou section mappée vers un tampon utilisateur — primitive noyau derrière ReadFile.
- NtDuplicateObject
Duplique un handle d'un processus source vers un processus cible, avec ajustement éventuel des accès ou fermeture de la source.
- NtQueryObject
Renvoie des métadonnées sur un handle d'objet noyau : info de base, nom, type ou table de types système.