HackMD - Collaborative Markdown Knowledge Base

Занятие 3. ААА в Windows Проанализировать память процесса lsass.exe: 1) Зайдём под учетной записью Петра и запустим командную строку от имени администратора ADMPetr ![](https://i.imgur.com/8vlqPhK.jpg) 2) Теперь запустим диспетчер задач от имени администратора ADMPetr; откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe, чтобы создадим его дамп ![](https://i.imgur.com/4o8FVXj.jpg) 3) Теперь используем kali linux, чтобы включить ssh и передать дамп ![](https://i.imgur.com/KrY1Ycd.jpg) 4) Скачаем скрипт pypykatz ![](https://i.imgur.com/TB3dlSD.jpg) 5) Переключимся в директорию с lsass и выполним скрипт, применив его к скачанному ранее дампу. Увидим учетные данные, которые скрипт достал из процесса lsass ![](https://i.imgur.com/BkeHdXi.jpg)