# Windows Basic Practice 3 ###### tags: `Windows Basic` ## Практическая работа №3 AAA в Windows ### 1) Анализ памяти процесса lsass.exe Для начала авторизируемся под несколькими пользователями. В нашем случае это Ольга: ![](https://i.imgur.com/DQhswZh.png) ![](https://i.imgur.com/pWKPsWi.png) Пётр: ![](https://i.imgur.com/K7xILgW.png) И запустим от администратора Петра обработчик команд: ![](https://i.imgur.com/2g5CJgu.png) Убедимся, что мы запустили обработчик команд от администратора Петра командой whoami: ![](https://i.imgur.com/ARRu4Mk.png) Запустим диспетчер задач от администратора Петра, чтобы увидеть подробную информацию о процессе lsass.exe: ![](https://i.imgur.com/octGsTt.png) ![](https://i.imgur.com/hTYvrqu.png) Создадим дамп памяти для анализа его в kali linux с помощью mimikatz: ![](https://i.imgur.com/t6lP48B.png) ![](https://i.imgur.com/QmnbwMw.png) Зайдём в kali из-под суперпользователя и запустим ssh-соединение: ![](https://i.imgur.com/jErs5Rv.png) Вернёмся в обработчик команд Windows, чтобы передать дамп памяти процесса lsass.exe: ![](https://i.imgur.com/9Qaylx5.png) Скачиваем mimikatz, склонировав git в папку /home/kali ![](https://i.imgur.com/kRhBoNF.png) Применим команду **pypykatz lsa minidump /home/kali/lsass.DMP**: ![](https://i.imgur.com/xzTIq3L.png) Здесь мы видим такие параметры как идентификатор сессии (session_id), доменное имя (domainname), имя пользователя (username), пароль (password), на каком контроллере домена вошёл пользователь (logon_server), время входа (logon_time), с помощью каких сетевых протоколов аутентификации проверяется текущий пользователь (например, Kerberos). Данная информация есть о каждом пользователе, что был авторизован в данной сессии работы.