# Занятие 3. ААА в Windows ## Модуль: OS Windows & AD basic #### Выполнил: Галлямов Айрат _ _ _ В данном задании мы проанализировали содержимое памяти процесса Lsass.exe на доменном компьютере pc1. Сделали дамп процесса lsass.exe, передали дамп на Kali Linux и проанализировали с помощью pypykatz. 1. Для более детального анализа провели эмуляции различных пользователей на pc1. Выполнили вход на хост pc1 из под различных пользователей: Olga, Pavel.  _Рис.1 Вход под УЗ Olga_  _Рис.2 Вход под УЗ Pavel_ 2. Запустили командную строку и диспетчер задач от имени администратора ADMPetr, чтобы данные администратора были в дампе процесса lsass.exe.  _Рис.3 Запуск cmd от имени ADMPetr_  _Рис.4 Запущенная cmd от имени ADMPetr_ 3. Далее мы создали дамп процесса lsass.exe. В запущенном от УЗ ADMPetr диспетчере задач перейдём во вкладку Подробности, найдём процесс lsass.exe и создадим его дамп.  _Рис.4 Создание дампа процесса lsass.exe_  _Рис.5 Успешное создание дампа процесса lsass.exe_ 4. После успешного дампа процесса lsass.exe передали полученный дамп на систему с Kali Linux. На самой системе проверили получение дампа, а после склонировали pypykatz на систему Kali Linux с репозитория https://github.com/skelsec/pypykatz.  _Рис.6 Отправили дапм lsass.exe на Kali Linux по scp_  _Рис.7 Подвердили получение дампа, установили pypykatz_ 5. Перешли в директорию pypycatz и выполнили скрипт, применив его к скачанному ранее дампу. Команда pypykatz lsa minidump /home/airat/lsass\ \(2\).DMP. В результате увидели учетные данные, которые скрипт достал из процесса lsass. Мы увидели, что память процесса lsass содержит учетные данные ADMPetr, Olga и Pavel. Эти пользователи были активны в момент создания дампа процесса.  _Рис.8 Ввод команды pypykatz lsa minidump /home/airat/lsass\ \(2\).DMP для чтения файла дампа_  _Рис.9 Запуск pypykatz. Видим данные пользователя Olga_  _Рис.10 Запуск pypykatz. Видим данные пользователя Pavel_  _Рис.11 Запуск pypykatz. Видим данные пользователя ADMPetr_