troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

lsass.exe のダンプからユーザーパスワードを抽出 :mimikatz

概要

TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、lsass.exe のダンプからユーザーパスワードを抽出する方法を紹介します。

内容

WinDbg のデバッガーエクステンションのmimikatz を使用すると、lsass.exe のプロセスダンプから、ユーザーパスワードの抽出が可能になります。

[mimikatz のダウンロード方法]
mimikatz は、こちらよりダウンロードできます。(バイナリだけでなく、ソースコードも公開されています。)
mimikatz のダウンロード

ダウンロードしたファイルを解凍した中にある、mimilib.dll がWinDbg のデバッガーエクステンションです。
mimilib.dll がデバッガーエクステンション

[注意]
TechEd のセッションの中(43:18頃)で、ウイルス対策ソフトがmimikatz を検知する可能性があるが、使用可能である旨の発言が発表者よりありました。

[lsass.exe のダンプ作成方法]
1. タスクマネージャーを起動します。

2. “プロセス” のタブで”lsass.exe” を右クリックし、”ダンプ ファイルの作成” をクリックします。
lsass.exe を右クリックし、ダンプファイルの作成

3. ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成された旨のダイアログが表示されます。
ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成される

[mimikatz を利用した、パスワードの抽出方法]
1. WinDbg を起動します。

2. “File” → “Open Crash Dump” より、上記3で作成したダンプを開きます。
ダンプのオープン

3. “.symfix c:\symbols”、”.reload” を実行し、シンボルをロードします。
シンボルのロード

4. “.load <mimilib.dll へのパス>” を実行し、mimikatz をロードします。
mimikatz のロード

5. “!mimikatz” を実行します。
すると、パスワードが確認できます。
ここでは、”Demo” ユーザーのパスワードが”mypassword” であったことがわかります。
パスワードが確認できる




情報元
TWC: Recalling Windows Memories: Useful Guide to Retrieving and Analyzing Memory Content
  1. 2014/05/25(日) 21:38:39|
  2. WinDbg
  3. | トラックバック:0
  4. | コメント:0
<<メモリダンプから様々な情報を抽出するためのオープンソースのツール : volatility | ホーム | WPR/WPA を用いた、アプリのメモリリークの調査方法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/173-1a5cf96b
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。