# Катенин Владимир - Windows Basic. Занятие 3. ААА в Windows [toc] ## Практическая работа №3 ААА в Windows ### Часть 1. Анализ памяти Lsass.exe Проанализируем содержимое памяти процесса. Сделаем дамп, передадим на Kali и проанализируем с помощью mimikatz. Для более детального анализа для начала проведём эмуляций различных пользователей на Windows 10. 1.1 Зайдём под учетной записью Olga  --- 1.2 Попробуем обратиться к ресурсам домена  --- 1.3 Выходим из учетной записи Olga  --- 1.4 Зайдём под учетной записью Petr  --- 1.5 Запускаем командную строку от имени администратора  --- 1.6 Так как Petr не является администратором PC1, введем данные ADMpetr  --- 1.7 Введём команду whoami, чтобы проверить, кто мы  --- 1.8 Запустим диспетчер задач от имени администратора ADMpetr  --- 1.9 Откроем подробное представление, перейдём в подробности и найдём процесс lsass.exe. Нажмем ПКМ по процессу lsass.exe и выберем пункт "создать дамп файла"  --- 1.10 Дамп создан. Запоминаем его расположение  --- 1.11 Теперь используем kali linux, чтобы включить ssh и передать файл. Откроем консоль, повысим привилегии с помощью sudo -i  --- 1.12 Прописываем ip адрес и gateway на интерфейс eth0 в /etc/network/interfaces  --- 1.13 Перезагружаем networking.service и проверяем присвоенный ip адрес  --- 1.14 Включаем сервис ssh на kali linux  --- 1.15 Вернёмся в Windows 10 и с помощью командной строки, запущенной от имени ADMpetr передадим файл на kali. Нужно подтвердить fingerprint (yes)  --- 1.16 Введём пароль kali и увидим, что файл передан  --- 1.17 Проверим, что на kali linux файл присутствует  --- 1.18 Переключаемся в директорию с lsass и скачиваем скрипт pypykatz  --- 1.19 Переходим в директорию pypycatz и выполняем скрипт, применив его к скачанному ранее дампу  --- 1.20 Увидим учетные данные, которые скрипт достал из процесса lsass.exe  Память процесса lsass будет содержать учетные данные и ADMpetr, и Petr, так как эти пользователи были активны в момент создания дампа процесса ---