文章总结： 本文介绍利用Windows自带工具WerFaultSecure.exe转储LSASS进程的技术。该方法利用微软签名绕过安全检测，生成的转储文件需通过十六进制编辑器修复文件头为MDMP，最后使用Mimikatz解析凭据。文章详细阐述了操作步骤与原理，为红队演练与安全研究提供了实用参考。 综合评分： 80 文章分类： 渗透测试,红队,免杀,内网渗透,安全工具

【安全工具】利用WerFaultSecure.exe进行LSASS进程转储的技术分析

原创

whoami0002

SecurityPaper

2026年1月8日 01:07 江苏

前言

在Windows安全研究中，LSASS（Local Security Authority Subsystem Service）进程转储是获取系统凭据的常见技术手段。传统的转储方法往往会被安全软件检测和拦截。本文将介绍一种利用WerFaultSecure.exe进行LSASS转储的技术方法。

技术原理

WerFaultSecure.exe 具有以下特点：

• ✅ 拥有微软官方数字签名
• ✅ 不在常见安全软件的特征库中
• ✅ 可以用于进程转储操作

操作步骤

步骤一：执行转储

使用WerFaultSecure.exe对LSASS进程进行转储，成功生成lsass.dmp文件。

步骤二：修复文件头

将lsass.dmp文件下载到本地后，需要使用十六进制编辑器（如010 Editor）修改文件的前4个字节：

修改内容：

• 将前4个字节修改为：0x4D, 0x44, 0x4D, 0x50（对应ASCII字符串 “MDMP”）

这是Windows转储文件的标准文件头标识，修复后文件才能被正确识别和解析。

步骤三：提取凭据

使用Mimikatz工具对修复后的转储文件进行解析：

mimikatz.exe "sekurlsa::minidump lsass.dmp""sekurlsa::logonPasswords full"exit

执行成功后，即可从转储文件中提取出登录凭据和哈希值。

技术要点

1. 绕过检测：利用系统自带工具可以绕过部分安全软件的检测机制
2. 文件头修复：转储文件需要正确的文件头才能被解析工具识别
3. 权限要求：执行转储操作需要相应的系统权限

注意：本文仅用于安全研究和防护技术交流，请勿用于非法用途。

扫描二维码加入知识星球获取工具：

【安全工具】PrintNotifyPotato：Windows 权限提升利器，支持 Shellcode 注入

【安全工具】一款专业的C2流量加密工具（CS_Tunnel）

【安全工具】Python内存马之FastApi内存马

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecurityPaper whoami0002《【安全工具】利用WerFaultSecure.exe进行LSASS进程转储的技术分析》