# Занятие 3. ААА в Windows ## Модуль: OS Windows & AD basic #### Выполнил: Галлямов Азат _ _ _ В данном задании мы проанализировали содержимое памяти процесса Lsass.exe на доменном компьютере pc01. Сделали дамп процесса lsass.exe, передали дамп на Kali Linux и проанализировали с помощью pypykatz. 1. Для более детального анализа провели эмуляции различных пользователей на pc01. Выполнили вход на хост pc01 из под различных пользователей: Igor, Roza.  _Рис.1 Вход под УЗ Igor_  _Рис.2 Вход под УЗ Roza_ 2. Запустили командную строку и диспетчер задач от имени администратора ADMIgor, чтобы данные администратора были в дампе процесса lsass.exe.  _Рис.3 Запуск cmd от имени администратора_ <!-- 3. Далее мы попытались создать дамп процесса lsass.exe. Однако Windows Firewall заблокировал данное действие. Для этого нам необходимо будет разрешить действие Win32/DumpLsass.C!attk на устройстве pc01. --> 3. Далее мы создали дамп процесса lsass.exe. В запущенном от администратора диспетчере задач перейдём во вкладку Подробности, найдём процесс lsass.exe и создадим его дамп.  _Рис.4 Успешно созданный дамп процесса lsass.exe_ 4. После успешного дампа процесса lsass.exe передали полученный дамп на систему с Kali Linux. На самой системе проверили получение дампа, а после склонировали pypykatz на систему Kali Linux с репозитория https://github.com/skelsec/pypykatz.  _Рис.5 Отправили дапм lsass.exe на Kali Linux по scp_  _Рис.6 Подвердили получение дампа, установили pypykatz_ 5. Перешли в директорию pypycatz и выполнили скрипт, применив его к скачанному ранее дампу. Команда ```pypykatz lsa minidump /home/kali/lsass.DMP```. В результате увидели учетные данные, которые скрипт достал из процесса lsass. Мы увидели, что память процесса lsass содержит учетные данные ADMIgor, Roza и Petr. Эти пользователи были активны в момент создания дампа процесса.  _Рис.7 Запуск pypykatz. Видим данные пользователя ADMIgor_  _Рис.8 Данные пользователя Roza_