Physmem2profit Physmem2profit可用于通过远程分析物理内存来创建目标主机的LSASS进程的小型转储。 这项研究的目的是为凭据盗用提出一种替代方法，并创建一个模块化框架，该框架可以扩展为支持其他可以访问物理内存的驱动程序。 Physmem2profit生成LSASS的小型转储（.dmp），可以使用Mimikatz进行进一步分析。 该工具不需要Cobalt Strike，但可以通过SOCKS代理在信标上正常工作。 这个想法如下所示： 该工具包含两个组件： 在目标主机