← Retour à l'index ATT&CK
T1003.004sub-technique
OS Credential Dumping: LSA Secrets
Voir sur attack.mitre.org →4 syscalls implémentent cette technique
- NtOpenKey
Ouvre une clé de registre existante — entrée noyau de RegOpenKeyEx, utilisée pour atteindre les ruches SAM, SECURITY et de persistance.
- NtOpenKeyEx
Variante étendue de NtOpenKey avec OpenOptions — requise pour suivre les liens symboliques et l'ouverture en sémantique backup.
- NtLoadKey
Monte un fichier de ruche de registre sous une clé cible — le syscall derrière le chargement offline de SAM/SYSTEM.
- NtSaveKey
Écrit une clé de registre vivante (avec sous-arbre) dans un fichier ruche — la face noyau du vol SAM/SECURITY.