RustiveDump:一款基于NT系统调用的LSASS内存转储工具
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
RustiveDump是一款基于NT系统调用的LSASS内存转储工具,使用Rust开发。它生成精简的minidump文件,包含必要的系统信息、模块列表和内存列表,支持XOR加密和远程传输,适合内存分析。该工具独立于C运行时,体积小,仅18KB,提供调试模式和多种构建选项。
🎯
关键要点
- RustiveDump是一款基于NT系统调用的LSASS内存转储工具,使用Rust开发。
- 该工具生成精简的minidump文件,包含SystemInfo、ModuleList和Memory64List等基本组件。
- RustiveDump独立于C运行时,体积小,仅18KB。
- 支持XOR加密和远程文件传输,适合内存分析。
- 所有操作均采用NT系统调用,绕过标准API。
- 支持编译为shellcode (PIC),使其更加通用。
- 使用间接系统调用技术检索系统服务编号 (SSN)。
- 生成的内存转储仅包含必要数据,确保文件精简。
- 调试模式提供详细日志,便于跟踪每个步骤。
- 项目遵循MIT开源许可协议,源代码可在GitHub上获取。
❓
延伸问答
RustiveDump是什么工具?
RustiveDump是一款基于NT系统调用的LSASS内存转储工具,使用Rust开发。
RustiveDump生成的minidump文件包含哪些信息?
生成的minidump文件包含SystemInfo、ModuleList和Memory64List等基本组件。
RustiveDump的体积有多大?
RustiveDump的体积仅为18KB。
RustiveDump支持哪些安全功能?
RustiveDump支持XOR加密和远程文件传输功能。
如何构建RustiveDump?
可以使用Cargo Make命令,并通过指定功能组合进行构建,例如:cargo make --env FEATURES=xor,remote,lsasrv,debug。
RustiveDump的开发遵循什么许可证?
RustiveDump遵循MIT开源许可协议。
➡️
