Tato analytika detekuje použití legitimního nástroje Microsoft Sysinternals, procdump.exe, k vytvoření memory dump procesu Local Security Authority Subsystem Service (LSASS). Útočníci tento nástroj zneužívají k extrakci credential materiálů, jako jsou password hashes a Kerberos tickets, z paměti pro offline cracking a lateral movement.