OS Credential Dumping: Security Account Manager
Voir sur attack.mitre.org →7 syscalls implémentent cette technique
- NtOpenKey
Ouvre une clé de registre existante — entrée noyau de RegOpenKeyEx, utilisée pour atteindre les ruches SAM, SECURITY et de persistance.
- NtOpenKeyEx
Variante étendue de NtOpenKey avec OpenOptions — requise pour suivre les liens symboliques et l'ouverture en sémantique backup.
- NtLoadKey
Monte un fichier de ruche de registre sous une clé cible — le syscall derrière le chargement offline de SAM/SYSTEM.
- NtLoadKey2
Charge une ruche de registre dans l'arbre de configuration via un wrapper à 2 drapeaux autour de NtLoadKey.
- NtLoadKeyEx
Syscall moderne de chargement de ruche — sous-tend RegLoadKeyW, RegLoadAppKeyW et la virtualisation registre des AppContainers.
- NtUnloadKey
Détache une ruche du registre précédemment chargée du gestionnaire de configuration.
- NtSaveKey
Écrit une clé de registre vivante (avec sous-arbre) dans un fichier ruche — la face noyau du vol SAM/SECURITY.