根据上述过程,我们可以看出,最直接的获取Windows凭证方法,无非就是想办法从lsass.exe进程中或从sam数据库中获取。...,
主要用于桌面应用开发人员对应用的一些检测处理,我们使用Procdump实现的主要功能是将正在运行的程序生成静态文件
方便我们进行分析操作,我在上述介绍中提过,处理我们密码的程序是lsass.exe,...lsass文件移动到本机中(最好将此文件和mimikatz.exe放在同一个文件夹,如果不是同一个文件夹,需要在猕猴桃中cd到lsass所在的文件夹中)
# 载入静态的lsass文件
sekurlsa:...+猕猴桃
我们的凭证信息除了会保存在lsass程序中,还可能会保存在一些注册表中,我们同样可以将注册表保存后下载到本地进行分析, system(本地数据库): reg save HKLM\SYSTEM...特点 文件落地
mimikatz 功能强大 文件落地(可以内存加载)
powershell 使用方便 内存加载
Pwddump7 和powershell脚本类似 内存加载
Procdump 微软官方工具