NTDS

攻击者可能会尝试访问或创建Active Directory域数据库的副本，以窃取凭据信息，以及获取有关域成员的其他信息，如设备、用户和访问权限。默认情况下，NTDS文件（NTDS.dit）位于域控制器的%SystemRoot%\NTDS\Ntds.dit中。（引用：Wikipedia Active Directory） 除了在活动域控制器上查找NTDS文件外，攻击者还可能搜索包含相同或类似信息的备份。（引用：Metcalf 2015） 以下工具和技术可用于枚举NTDS文件以及整个Active Directory哈希的内容。 * 卷影副本 * secretsdump.py * 使用内置的Windows工具ntdsutil.exe * Invoke-NinjaCopy