Утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.
Подготовка
Для осуществления задуманного нам понадобятся следующие утилиты:
- Debugging Tools for Windows;
- Windows Memory toolkit free edition;
- И, собственно, сам mimikatz.