通过系统白程序 Reg.exe 的拓展应用,巧妙的绕过了杀软的拦截点,实现了绕过EDR从而DumpHash的目的。
根据实际测试,该方法针对Windows系列系统具有有效性,操作难度不大,具有实战价值。
本项目实战文章:
文章发表后,在国内和海外社区没找到相同的思路,原本以为是全球首发,后续根据粉丝评论,该思路之前海外有大佬分享过:Dumping LSA secrets: a story about task decorrelation
本文的源代码和Release已发布在Github,分享不易,觉得不错的师傅可以给个Star,万分感谢!
免杀测试(2026.5.10):BootKey.exe-www.virustotal.com
