LSASS dump using Transactional NTFS (TxF) via SMB

[biosh]

https://github.com/N00BS3c/SambaKatz

 

Description : It ain't much, but it's honest work  

[Nytro]

Dragut, TxF nu e "readable" in general de catre AV/EDR? Bine, stiu ca scrisul pe disc e doar o parte a problemei, problema e accesul in memorie la LSASS (PS: iei pid la runtime in loc sa il ceri sa fie scris, iterezi printre procese si iei dupa nume  ) dar oricum e utila ideea.

[biosh]

De catre AV sigur nu, dar un EDR decent ar trebui sa vada CreateFileTransacted  

[Nytro]

Dap, posibil sa se poata bypass cu un syscall (catre clasicul CreateFile cu ceva flags probabil)