Windows_Basic-Криворученко_Савелий-Практика-3

# Windows_Basic-Криворученко_Савелий-Практика-3 # 1) Проанализировать память процесса lsass.exe Эмуляция различных пользователей: ***Ольга:*** ![](https://i.imgur.com/GgIbgFV.png) ***петр:*** * вошел в командную строку через админ. учетку петра ![](https://i.imgur.com/gZQIRhg.png) * создадим дамп файла в диспетчере задач ![](https://i.imgur.com/SvfIAED.png) запомним расположение для дальнейшей передачи на кали: ![](https://i.imgur.com/kBakgYh.png) **настроим кали на внутреннюю сеть:** ![](https://i.imgur.com/P6UsSYX.png) проверим ssh: ![](https://i.imgur.com/4bV0ihi.png) *хорошо, продолжаем:)* передадим дамп на кали: ![](https://i.imgur.com/TrLejyE.png) войдя в директорию с lsass.DMP скачаем pypykatz ![](https://i.imgur.com/sVYW8zm.png) Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу: ![](https://i.imgur.com/ojLv31O.png)] * ***Учетные данные, которые достал скрипт:*** ##### 1. Админ петр: ![](https://i.imgur.com/XabRsFd.png) ##### 2. Петр: ![](https://i.imgur.com/Th2aRwG.png) ##### 3. Ольга: ![](https://i.imgur.com/oDVB3DV.png) # вывод Память процесса lsass содержит учетные данные Olga и ADMPetr, и Petr, так как эти пользователи были активны в момент создания дампа процесса. Под активностью понимается не только прямая сессия с ПК, но и действия, совершаемые по сети.