1.使用windbg导入转储文件(注:根据转储文件的系统版本要使用对应的windbg版本(x64或x86))

可把.dmp文件直接托入windbg窗口,或者使用菜单 File-> Open Crash dump... 打开文件
2.jpg

2.输入如下命令,提取密码。

.symfix     #.符号路径 
.reload     #重新载入
.load G:\CTF\bisai\nec\Win32\mimilib.dll#这个路径是你mimikatz的路径
!process 0 0 lsass.exe      #查找lsass进程,并将该进程转到本机环境中
.process /r /p 879e6030       #这里的879e6030   是上一步查找lsass进程的地址,注意替换
!mimikatz        #载入mimikatz,读取密码

1.png

3.结果如下.

3.png