RustiveDump:一款基于NT系统调用的LSASS内存转储工具
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
RustiveDump是一款基于NT系统调用的LSASS内存转储工具,使用Rust开发。它生成精简的minidump文件,包含必要的系统信息、模块列表和内存列表,支持XOR加密和远程传输,适合内存分析。该工具独立于C运行时,体积小,仅18KB,提供调试模式和多种构建选项。
🎯
关键要点
-
RustiveDump是一款基于NT系统调用的LSASS内存转储工具,使用Rust开发。
-
该工具生成精简的minidump文件,包含SystemInfo、ModuleList和Memory64List等基本组件。
-
RustiveDump独立于C运行时,体积小,仅18KB。
-
支持XOR加密和远程文件传输,适合内存分析。
-
所有操作均采用NT系统调用,绕过标准API。
-
支持编译为shellcode (PIC),使其更加通用。
-
使用间接系统调用技术检索系统服务编号 (SSN)。
-
生成的内存转储仅包含必要数据,确保文件精简。
-
调试模式提供详细日志,便于跟踪每个步骤。
-
项目遵循MIT开源许可协议,源代码可在GitHub上获取。
➡️
