# Практическая работа №3 ААА в Windows # Занятие 3 - ААА в Windows ## Часть 1. Анализ памяти Lsass.exe 1.1 Зайдём под учетной записью Ольги  1.2 Попробуем обратиться к ресурсам домена  1.3 Выйдем из учетной записи Ольги  1.4 Зайдём под учетной записью Петра  1.5 Запустим командную строку от имени администратора  1.6 Так как Petr не является администратором PC1, введем данные ADMPetr  1.7 Введём команду whoami, чтобы проверить, кто мы  1.8 Теперь запустим диспетчер задач от имени администратора ADMPetr  1.9 Используем данные ADMpetr  1.10 Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe. 1.11 Нажмем ПКМ по процессу lsass.exe и выберем пункт "создать дамп файла"  1.12 Дамп создан. Запомним его расположение  1.13 Теперь используем kali linux, чтобы включить ssh и передать файл. Откроем консоль  1.14 Повысим привилегии с помощью sudo -i  1.15 Включим сервис ssh  1.16 Вернёмся в Win10 и с помощью командной строки, запущенной от имени ADMPetr передадим файл на kali. Нужно подтвердить fingerprint (yes). 1.17 Введём пароль kali и увидим, что файл передан  1.18 Проверим, что на kali файл присутствует  1.19 Переключимся в директорию с lsass и скачаем скрипт pypykatz  1.20 Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу  1.21 Увидим учетные данные, которые скрипт достал из процесса lsass