當我們在 Windows進行登入時，會用到名為 WinLogon.exe 的程式。它會調用 Secure32.DLL 的 LsaLogonUser() 函式，使用 Windows系統的本機安全性授權子系統服務 (LSASS) 進行使用者身分憑證的登入驗證。

Windows系統的「安全支援提供者（SSP）」可由許多DLL進行提供，主要有NTLM、SAM、Kerberos等。

在系統啟動時，SSP 會載入到 LSASS 的執行程序之中，如此 SSP 就能存取儲存在系統中的已加密的密碼、明文密碼或雜湊。LSASS 的驗證過程，就使用這些 SSP 透過多種方式來獲取使用者身分憑證，還會將加密的密碼、Kerberos Ticket、NTLM雜湊等憑證，儲存在記憶體。

此憑證資訊成為駭客在進行端點間橫向移動前的首要攻擊目標。在 MITRE ATT&CK MATRIX 上，此攻擊技術被稱為「OS Credential Dumping: LSASS Memory, T1003.001」(憑證轉存)，知名的 Mimikatz 即是進行此攻擊的主要工具。

實務上使用 LSASS Dump 的指令相當簡易，但講者將從資安鑑識的角度，向與會的會眾分享整個 LSASS 的技術原理、LSASS Dump的程式邏輯分析、以及此攻擊過程的鑑識。