# Win. Практическая работа №3 Цель работы - получить дамп памяти процесса lsass.exe. 1. Подготовительные работы Для работы понадобится авторизоваться под любым пользователем Пусть это будет Petr. Работаем на Win10 Pro. 2. Получение файла дампа памяти Запустим диспетчер задач под администратором и во вкладке Подробности найдем процесс lsass.exe.  Через правую клавишу мыши выберем пункт меню Создать дамп и запомним путь, куда сохранился файл дампа.  Любым доступным способом передаем файл для анализа на ВМ с установленной ОС Kali. В нашем случае - по ssh. 3. Анализ дампа Для анализа понадобится утилита pypykatz. Скачаем ее с Гитхаба и установим на Кали. После чего, переходим в папку с дампом и запускаем pypykatz командой `pypykatz lsa minidump lsass.DMP`  4. Выводы Именно таким образом, атакующий и проникает в систему. С помощью хеша он может ходить по домену и обращаться к ресурсам. Как видно на фото, дамп памяти процесса lsass будет содержать учетные данные и ADMPetr, и Petr, так как эти пользователи были активны в момент создания дампа, либо совершали действия по сети или запускали процессы на ПК.  Еще в дампе отсутствует LM-хэш (он уже устарел и не используется). Есть NT-хэш, SHA1-хэш, sid учетной записи и даже есть пароль админа в открытом виде.  Также, присутствует пользователь PC1$- это наш компьютер, с доступом по "техническому" паролю, который тоже хранится здесь в открытом виде.