Mimikatz

Mimikatz هي أداة لنظام ويندوز مخصّصة لانتزاع كلمات مرور الجهاز من ملفّ تفريغ الذّاكرة أو الإسبات. ينبغي الدّخول إلى حساب الملفّ الرّئيسي لاستخدام التّطبيق.

الهدف الأساسي

تعتمد هذه الأداة خلل أمني متأصّل في أي نظام تشغيل ويندوز حديث، بحيث يمكّن المستخدمين من سحب الكلمة السّرّ من ذاكرة الوصول العشوائي وحلّ شفرتها للحصول على كلمة العبور. يقوم نظام التّشغيل الخاصّ بك بتخزين كلّ البيانات في شكل أجزاء محميّة.

ولا يمكن حتّى لأدوات حلّ الشّيفرة ذات التخصّص الفائق توقّع العبارة المفتاح عبر قوّة شاملة للنّظام. ومع ذلك، تتطلّب بعض خدمات ويندوز مثل عمليّات التحقّق من الأمان والموثوقيّة ويشترط LSASS كلمة مرور المستخدم الأصليّة بصيغة كتابة عاديّة.

مراقبة العبارة الأساسيّة

هناك ملفّات تنفيذيّة لكلّ من أنظمة التشغيل 32 و64 بت. على المستخدمين بدء تشغيل التّطبيق بامتيازات إداريّة. تتمثّل الخطوة التالية في تطبيق الأوامر الآتية بالتّعاقب: الامتياز :: debug وsekurlsa :: logonPasswords كلّها. ستُعرض قائمة بكافّة المستخدمين النّشطين وكلمات مرورهم في نافذة وحدة التّحكّم.

إنّ PowerShell ضروريّ لسحب الكلمة المفتاح من تفريغ الذّاكرة. تستطيع بدء تشغيل الوحدة الطّرفيّة وكتابة  Get-Process lsass | Out-Minidump. سيقع إحداث ملفّ DMP في مجلّد النّظام. يمكن تحويله إلى حاسوب  آخر وتنفيذ الأمر sekurlsa :: minidump بواسطة اسم ملفّ التّفريغ كوسيط. بعدها تستطيع كتابة sekurlsa :: logonPasswords والحصول على الكلمات المفاتيح التي وقع حلّ شفرتها.