# Занятие 3. ААА в Windows
- [x] Анализ памяти Lsass.exe
> 1. Зайдём под учетной записью Ольги
> 
> 2. Попробуем обратиться к ресурсам домена
> 
> 3. Выйдем из учетной записи Ольги
> 
> 4. Зайдём под учетной записью Петра
> 
> 5. Запустим командную строку от имени администратора
> 
> 6. Так как Petr не является администратором PC1, введем данные ADMPetr
> 
> 7. Введём команду whoami, чтобы проверить, кто мы
> 
> 8. Теперь запустим диспетчер задач от имени администратора ADMPetr
> 
> 9. Используем данные ADMpetr
> 
> 10. Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe
> 
> 11. Нажмем ПКМ по процессу lsass.exe и выберем пункт "создать дамп файла"
> 
> 12. Дамп создан. Запомним его расположение
> 
> 13. Произошла ошибка. Дамп не сохранился из-за блокировки Windows Defender. Открыл настройки Windows Defender'а и исправил ситуацию. Заново сделал дамп файла.
> 
> 14. Теперь используем kali linux, чтобы включить ssh и передать файл. Откроем консоль
> 15. Включим сервис ssh
> 
> 16. Вернёмся в Win10 и с помощью командной строки, запущенной от имени ADMPetr передадим файл на kali. Введём пароль kali и увидим, что файл передан
> 
> 17. Проверим, что на kali файл присутствует
> 
> 18. Переключимся в директорию с lsass и скачаем скрипт pypykatz
> 
> 19. Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу
> 
> 20. Увидим учетные данные, которые скрипт достал из процесса lsass
> 
> Память процесса lsass будет содержать учетные данные и ADMPetr, и Petr, и Olga, так как эти пользователи были активны в момент создания дампа процесса.
Sign in with Wallet
Connect another wallet