WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın özeti ve parolanın açık hali elde edilecektir.
WCE aracının son sürümü http://www.ampliasecurity.com/research/wcefaq.html#curversion adresinden elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parola özetlerini elde etmek için, WCE aracı parametresiz olarak veya “-l” parametresi kullanılabilir.
wce -l
Parolanın açık haline elde edebilmek için “-w” parametresi kullanılır:
wce -w