Утилита [mimikatz][1], позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо [хорошо освещённого][2] функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.

### Подготовка

Для осуществления задуманного нам понадобятся следующие утилиты:

* [Debugging Tools for Windows][3];
* [Windows Memory toolkit][4] free edition;
* И, собственно, сам [mimikatz][5].

[Читать дальше →][6]

[1]: http://blog.gentilkiwi.com/mimikatz
[2]: http://www.securitylab.ru/news/420431.php
[3]: https://msdn.microsoft.com/en-us/library/windows/hardware/ff551063(v=vs.85).aspx
[4]: http://www.moonsols.com/windows-memory-toolkit/
[5]: https://github.com/gentilkiwi/mimikatz/releases/latest
[6]: http://habrahabr.ru/post/250999/#habracut