# Практическая работа №3 ААА в Windows ## Часть 1. Анализ памяти Lsass.exe Проведём эмуляций различных пользователей на Win10. Зайдём под учетной записью Ольги. Пароль от учетной записи можно найти в скрипте, создающем пользователей:  Для этого важно, чтобы контроллер домена, он же dc1, был включен.  Обратимся к ресурсам домена:  Чтобы это было возможно, сетевое обнаружение должно быть включено:  Выйдем из учетной записи Ольги и зайдем как Петр:  Запустим командную строку от имени администратора. Так как Petr не является администратором PC1, введем данные ADMPetr, которые можно посмотреть в скрипте:   Введём команду whoami, чтобы проверить, кто мы:  Теперь запустим диспетчер задач от имени администратора ADMPetr:  Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe:  Нажмем ПКМ по процессу lsass.exe и выберем пункт "создать дамп файла":  Запомним его расположение. Теперь используем kali linux, чтобы включить ssh и передать файл. Откроем консоль, повысим привилегии до рута с помощью sudo -i:  Включим сервис ssh:  Вернёмся в Win10 и с помощью командной строки, запущенной от имени ADMPetr передадим файл на kali:  192.168.10.9 - адрес kali:  Проверим, что на kali файл присутствует:  Переключимся в директорию с lsass и скачаем скрипт pypykatz:  Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу:  Увидим учетные данные, которые скрипт достал из процесса lsass:   Память процесса lsass содержит учетные данные ADMPetr и Petr.