Dump lsaas的对抗技巧

获取句柄的对抗方案

最常规：OpenProcess

NtQuerySystemInformation 获取所有进程句柄，然后遍历每个句柄
+NtDuplicateObject 对当前遍历到的句柄进行复制操作
+NtQueryObject+QueryFullProcessImageName 获取当前句柄详细信息并匹配句柄名是否为lsaas
找到lsaas的Duplicate句柄

NtCreateProcessEx 创建完全继承于lsass进程的子进程

dump内存的对抗方案

静默退出  假装线程崩溃然后系统自动存储dump内存
lsaas SSP自加载AddSecurityPackage   让lsaas进程自己加载一个恶意dumpdll
重写MiniDumpWriteDump 或者使用MiniDumpWriteDump的回调方法 将转储内容加密