lsass.exe是什么进程-网络安全人士必知的密码提取工具Mimikatz

一、简介

是由法国安全研究员 Delpy 开发的一款强大的认证信息提取工具。它可以从设备的内存中提取明文密码、哈希值、PIN 码和票据lsass.exe是什么进程，广泛用于渗透测试和网络安全研究。自 2007 年发布以来，逐渐成为网络攻击和防御领域的重要工具之一，被红队、安全研究员以及攻击者频繁使用。

二、的核心功能

之所以被广泛应用，是因为它具备多个强大的功能，主要包括以下几类：

1. 读取明文密码

通过::命令，能够从内存中提取当前登录用户的明文密码。这是最具代表性的功能之一，在 7 及更早版本的系统上可以直接获取明文密码，而在 8 及以上版本中，微软增加了保护机制，需要管理员权限或级别权限来提取数据。

2. 读取 NTLM 哈希（::sam）

NTLM 哈希值是用于存储用户密码的一种加密格式。可以从 SAM（）数据库中提取这些哈希值，之后攻击者可以利用等工具进行离线破解，或者直接利用 Pass-the-Hash（PTH）技术进行身份冒充。

3. Pass-the-Hash（pth）

Pass-the-Hash（PTH）是一种利用 NTLM 哈希进行身份认证的技术，无需明文密码即可访问受保护的系统。通过::pth命令，允许攻击者使用窃取的哈希值直接登录目标系统，从而绕过密码输入步骤，获得权限访问。

4. Pass-the-（票据传递攻击）

认证系统使用票据（）进行身份验证，允许攻击者导出、导入或伪造票据，实现“Pass-the-”攻击。攻击者可以利用::list命令列出当前会话的票据，并使用::ptt命令加载票据，冒充合法用户访问系统资源。

5. （黄金票据攻击）

是最具威胁性的功能之一。它允许攻击者伪造票据授予票据（TGT），以域管理员身份访问整个域。攻击者只需要获取域控（）上的账户哈希值，就能生成长期有效的票据，几乎无法被检测到。

6. （白银票据攻击）

与类似，但它针对的是特定的服务，而不是整个域。攻击者可以伪造服务票据（TGS），直接访问目标服务（如 SQL 服务器、文件共享等），减少被检测的可能性。

7. Dump LSASS 进程（lsass.exe）

可以通过::命令转储认证进程（lsass.exe），然后在离线环境中分析并提取凭据信息。这种方法通常用于规避实时检测。

三、的使用方法

要使用，需要先获得管理员权限，并在具有 Debug 权限的情况下运行它。具体的使用步骤如下：

1.下载

在杀软眼中就是病毒木马，在做实验过程中要关闭杀软或添加排除项。在实际攻击过程中，需要做免杀。

2.解压-.zip

3.以管理员身份运行.exe

4.获取NTML哈希

从内存中读取输入privilege::debug输入sekurlsa::logonpasswords

遗忘的进程是_lsass.exe是什么进程_进程是一个程序对某个数据集的

解密NTLM，可以看出密码一定要设置足够复杂，或定期更改密码，防止被破解。

也可以从SAM数据库中读取输入privilege::debug输入token::elevate输入lsadump::sam

5.其它命令

Pass-the-Hash 攻击sekurlsa::pth /user:Administrator /domain:target.local /ntlm:获取 Kerberos 票据kerberos::list使用黄金票据kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:

四、的防御措施

由于主要利用认证机制中的漏洞lsass.exe是什么进程，因此针对的防御措施通常集中在加强系统安全配置和监测攻击行为上。

1.启用 LSA 保护（ Guard）

10 和 2016 及以上版本支持 Guard，可使用虚拟化技术保护 LSA 进程，防止读取凭据。启用方式：

Set- -Path "HKLM:\\Lsa" -Name "" -Value 1

2.限制高权限访问

限制本地管理员权限，防止攻击者轻易提升权限运行。

禁用 NTLM 认证，强制使用认证。3.监控 LSASS 进程

可以使用事件日志（Event ID 4624, 4672, 4688）监控异常登录行为，并结合 SIEM 进行分析。

4.定期更改账户密码

针对攻击，企业应定期更改账户密码，防止长期滥用。

5.使用 EDR/XDR 进行检测