# Занятие 3 # ААА в Windows # Практическая работа №3 *ААА в Windows* # Задание: 1) Проанализировать память процесса lsass.exe # Часть 1. Анализ памяти Lsass.exe ==1.1 Зайдём под учетной записью Ольги==  ==1.2 Попробуем обратиться к ресурсам домена==  ==1.3 Выйдем из учетной записи Ольги==  ==1.4 Зайдём под учетной записью Петра==  ==1.5 Запустим командную строку от имени администратора==  ==1.6 Так как Petr не является администратором PC1, введем данные ADMPetr==  ==1.7 Введём команду whoami, чтобы проверить, кто мы==  ==1.8 Теперь запустим диспетчер задач от имени администратора ADMPetr==  ==1.9 Используем данные ADMpetr==  ==1.10 Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe==  ==1.11 Нажмем ПКМ по процессу lsass.exe и выберем пункт "создать дамп файла"==  ==1.12 Дамп создан. Запомним его расположение==  ==1.13 Теперь используем kali linux, чтобы включить ssh и передать файл. Откроем консоль==    ==1.14 Повысим привилегии с помощью sudo -i==  ==1.15 Включим сервис ssh==  ==1.16 Вернёмся в Win10 и с помощью командной строки, запущенной от имени ADMPetr передадим файл на kali. Нужно подтвердить fingerprint (yes)==  ==1.17 Введём пароль kali и увидим, что файл передан==  ==1.18 Проверим, что на kali файл присутствует==  ==1.19 Переключимся в директорию с lsass и скачаем скрипт pypykatz==  ==1.20 Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу==  ==1.21 Увидим учетные данные, которые скрипт достал из процесса lsass==