[Rezor666]

Тьфу ты блин ) Я уж думал что по интереснее...

Цитата exo:

которые работали до него без перезагрузки компьютера... »

Вот будет кто то стоять со свечкой и ждать пока админ ведет пароль и не дай бог комп ребутнет.
А вообще кому оно нафиг надо? Если человек раздает локального админа всем то он дурак.

[exo]

Цитата Rezor666:

А вообще кому оно нафиг надо? »

компрометация

[winbond]

Попробовал на работе. Также получает отлуп. Ни на 7 x86/2008 R2 SP1 не выходит, ни на 2003 R2 x86. Апдейты через wsus. Посмотрел блог повнимательней - автор вроде как пишет что на 70% x86 систем и на 90% x64 чего-то у него не совсем срастается и обещает удивить тех у кого установлена Win 8. Ну-ну, посмотрим...

[exo]

Цитата winbond:

на 90% x64 чего-то не совсем срастается»

я когда это пробовал зимой - у 100% было. сейчас я попробую у тех, у кого получалось.
проверил - теперь не работает. При этом в дистрибутиве утилиты отсутствовал файл sekurlsa.dll Пришлось заново закачивать, но не помолго

[gentilkiwi]

I'm very interested to have feedbacks on your Windows version !

Don't forget this facts :

• NT 5 - Console
  
  Код:

  privilege::debug
  inject::service samss sekurlsa.dll
  ....

• NT 5 - RDP
  
  Код:

  psexec -s cmd

  or
  Код:

  psexec -s mimikatz

  then
  
  Код:

  inject::service samss sekurlsa.dll
  ....

• NT 6 (Console & RDP, include Win8)
  
  Код:

  privilege::debug
  inject::service samss sekurlsa.dll
  ....

Gentil Kiwi (my mail is on http://blog.gentilkiwi.com/contact)

[exo]

Цитата gentilkiwi:

inject::service samss sekurlsa.dll »

same: access denied

вообщем, пообщавшись с gentilkiwi выяснилось что запрет появился после установки ESEN NOD 32. У него есть некий модуль HIPS, он и блокирует доступ к файлу.

[gentilkiwi]

Like sayed in PM, if security softwares like Antivirus / HIPS / Behavior scans /... lock mimikatz access to LSASS, it's not a mimikatz issue

Don't forget it's a POC tool, not a hack tool

* I've made test on an up to date x64 7, no problem at all

[gentilkiwi]

ESET is not the best HIPS after all

http://img52.imageshack.us/img52/555...0727182837.png

Driver exposed not available at this time.

[exo]

gentilkiwi, can you make screen smaller?
i'll checking this on Monday.

Цитата Rezor666:

Если человек раздает локального админа всем то он дурак. »

тут ещё такой момент. с человеком, который у вас работает, можно договорится. Объяснить ему, что такое хорошо и что такое плохо.
А вот вирусам это не объяснишь. написать вирус, который будет выполнять эти действия - не проблема. поэтому хочется понять, как это работает, чтобы закрыть.

[winbond]

Win 7 x86 - MSE.
2008 R2 - MS Defender
2003 R2 - там да, NOD32 5.
На 8 и 2012 встроенный.

Ни на одном не прокатило. Все ОС обновлены по максимуму - в конторе это несложно, дома тем более.
Резюме: на машине без антивируса, под локальным админом и без перезагрузки. Как-то уже не впечатляет )