minidump etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
minidump etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

14 Haziran 2013 Cuma

Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

İpucu: Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Böylece oturum açılabilen ama AV gibi engelleyici sistemler yüzünden mimikatz/wce çalıştırılamayan makinelerde proses içerisinden bu kimlik bilgileri elde edilebilir.

Yazının devamı için:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-windows-computers-command-line-using-mimikatz-tool/



Gönderen zaman: 2 yorum:
Etiketler: , , , , , , , , , , , , ,

23 Mart 2013 Cumartesi

Notlar: Dump Verisinin Kaydedilmesi


Notlar: Mavi Ekran Hatası

Bir problem olduğunda ve bilgisayar mavi ekran (BSOD - Blue Screen of Death) verdiğinde hatayı bulmak veya hata öncesinde RAM'deki bilgileri elde etmek için kernel memory dump'ı gerekir. Bu dosyada RAM'in anlık bir snapshot'ı bulunur. Bu dump dosyasının alınması için aşağıdaki ayarın yapılması gerekir:

Dump dosyalarının alınması 3 şekilde olabilir:
  • Küçük dump: Sistem çökerken RAM'de bulunan exe/binary dosyalarının kaydını tutmaz. 64 KB kadardır. "%SystemRoot%\Minidump" altındadır. Sistem çöktükçe bu kayıtlar devamlı tutulur.
  • Kernel Dump: Kernelin tüm kaydını tutar. Sistemin çökmesi ile ilgili olmadığı düşünülen veri hariç, tüm verilerin kaydını tutar. Kernel boyutu kadardır. 512 MB RAM için ortalama olarak 60 MB, 4 GB RAM için ortalama olarak 530 MB kadar olabilir. "%SystemRoot%\MEMORY.DMP" dosyasıdır. Yukarıdaki resimdeki ayara göre sadece en son sistem çöküşündeki kernel dump'ı tutulmaktadır. Bu sebeple 1 tane dosya bulunmaktadır.
  • Tam Dump: RAM'in tamamını tutar.

Kaynak site:
http://www.networkworld.com/news/2005/041105-windows-crash.html?page=1
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,
Kaydol: Yorumlar (Atom)