Windows本地hashdump备忘录

作者：CoolCat  原文地址：https://xz.aliyun.com/t/7278市面上可见到的读Windows本地密码的大多工具都是变则法子的去读lsass.exe的内存或者SAM数据库，然后从里面提取hash。所以有杀软的情况下读密码这事根本就不是工具免不免杀的问题，而是杀软有没有监控保护lsass.exe或SAM的问题，所以读本地密码条件可以总结为：能正常访访问lsass.exe内存或SAM数据库。常见工具工具仅部分，通过以下操作可一键获取密码。mimikatzhttps://github.com/gentilkiwi/mimikatzmimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"QuarksPwDumphttps://github.com/quarkslab/quarkspwdumpQuarksPwDump.exe -dhlwcehttps://www.ampliasecurity.com/research/wcefaq.htmlwce.exe -wpwdump7http://www.tarasco.org/security/pwdump_7/index.htmlPwDump7.exeLaZagnehttps://github.com/AlessandroZ/LaZagne ………………………………