# Отчет по выполнению Занятия 3. AAA в Windows. ## Практическая работа 3. 1) Проанализировать память процесса lsass.exe: * Сначала, следуя инструкции из практического занятия авторизуемся под обчным пользователем (Olga):  * Проверим доступноть сетевых папок (Olga):  * Далее залогинимся под учетной записью администратора (Petr):  * В консоли, вписав команду whoami, убеждаемся, что мы находимся в учетной записи администратора:  * В диспетчере задач, найдем процесс lsass.exe. Этот процесс отвечает за проверку данных для авторизации. При успешной авторизации он оставляет флаг о возможности входа:  * Найдя процесс в диспетчере задач, сдампим память этого процесса. Дамп будет лежать в C:\Users\ADMPetr\AppData\Local\Temp (lsass.DMP):  * Теперь смоделируем действия злоумышленника. Необходимо залогиниться в Kali (с правами суперпользователя):  * Теперь необходимо запустить ssh-сервис и скачать ПО, которое вытащит необходимуюинформацию из lsass.DMP:  * На сервере ПК (WinPro10) выполним команду, которая посредством shh перебросит файл lsass.DMP на kali:  * Убедимся, что файл был получен на kali:  * Запустив pypykatz, получим необходимые данные учетных записей, которые были авторизованы на данном ПК (прикладываю лог консоли kali):