文章总结： GhostKatz是新型Windows凭据提取工具，利用已签名漏洞驱动读取物理内存，绕过LSASS用户态检测。支持Win10及Server2012-2022，可提取登录密码与WDigest凭据。该工具侧重内核对抗，需高权限加载驱动，虽有系统崩溃风险，但揭示了防御重心需向内核与驱动层转移的趋势。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,安全工具

你没有看错，是GhostKatz不是Mimikatz，Windows系统口令提取最新工具！

原创

网空闲话 网空闲话

网空闲话plus

2026年2月5日 06:44 北京

在Windows凭据获取领域，Mimikatz几乎是一个“时代符号”。然而，随着微软持续强化对LSASS进程的保护，传统的用户态转储方式正变得越来越容易被发现和阻断。2026年2月，一款名为GhostKatz的新工具公开发布，它并未试图在Mimikatz的路径上“再快一步”，而是直接换了一条赛道——绕过用户态检测，从物理内存中提取LSASS凭据。这种设计思路的转变，正是理解GhostKatz价值的关键。据作者测试，GhostKatz在多种主流Windows系统上进行人工压力测试并验证可用，包括Windows Server 2012 R2、Windows Server 2016（1607）、Windows Server 2019（1809）、Windows 10（21H2 与 22H2）以及 Windows Server 2022（21H2）。

一、研发背景：从学习内核漏洞到现实工具

GhostKatz由Julian Peña发布，并与Eric Esquivel协作开发。作者明确表示，该项目最初是一个学习型与训练型项目，目标是理解Windows内核驱动漏洞及其利用方式。

在动机上，GhostKatz受到Outflank的KernelKatz工具启发，但由于作者无法使用该商业工具，选择自行实现类似思路。这一点与Mimikatz的诞生路径高度相似：两者都源于对Windows安全机制的研究，而非一开始就定位为攻击工具。

需要强调的是，GhostKatz仅使用已公开披露、但仍然被正确签名的漏洞驱动程序，并未包含任何未公开或零日驱动漏洞利用代码。

二、核心机制：为何“物理内存”是关键突破口

GhostKatz与Mimikatz最本质的区别，在于访问凭据的路径不同。

Mimikatz：通过用户态或调试权限直接与LSASS进程交互，读取内存结构，从而提取明文密码、哈希值或Kerberos票证。这种方式成熟、功能丰富，但其行为模式（如LSASS转储）已被大量安全产品重点监控。

GhostKatz：不直接操作LSASS进程，而是借助存在漏洞的已签名内核驱动，使用MmMapIoSpace等机制建立物理内存读取原语，再从物理内存中定位并解析LSASS相关数据结构。正因为它绕过了用户态访问路径，GhostKatz可以规避多种基于“进程行为”的检测逻辑。

GhostKatz已由开发者在多种主流Windows系统上进行人工压力测试并验证可用，包括Windows Server 2012 R2、Windows Server 2016（1607）、Windows Server 2019（1809）、Windows 10（21H2 与 22H2）以及 Windows Server 2022（21H2）。作者同时指出，在同一主版本号下，小幅构建更新通常不会引入破坏性变化，但工具能否实际生效，仍取决于目标系统是否允许加载可被利用的漏洞内核驱动。

三、前置条件：GhostKatz能发挥作用的必要前提

这里必须澄清一个容易被误解的关键点：GhostKatz并不是“只要有管理员权限就能用”。

其成功运行，至少依赖以下前提条件：

1. 能够加载漏洞内核驱动 GhostKatz依赖的是已签名、但存在内存读取漏洞的驱动程序。如果目标系统已通过策略或安全产品阻止这些驱动加载，工具将无法工作。
2. 驱动需暴露物理内存读取原语 并非所有漏洞驱动都可用。驱动必须允许在内核态建立对物理内存的读取能力，这是GhostKatz功能成立的技术基础。
3. 具备足够高的执行权限 驱动加载与内核交互本身就是高权限操作，这意味着GhostKatz并不解决“初始入侵”问题，而是一个后渗透阶段工具。
4. 系统稳定性存在不确定性 由于操作的是内核驱动和物理内存，任何偏差都可能导致系统崩溃，甚至触发蓝屏死机（BSOD）。

四、功能与使用方式：聚焦而克制

GhostKatz当前版本在功能上明显克制，只聚焦最核心的能力：

• 支持提取登录会话密码（logonpasswords）
• 支持提取wdigest凭据
• 采用模块化架构，允许研究人员通过扩展源码中的内存读取函数，引入新的驱动或研究成果
• 可通过Cobalt Strike Beacon的Aggressor Script调用

根据参考材料，其典型使用方式如下（仅作技术描述）：

ghostkatz [logonpasswords/wdigest] -prv <provider&nbsp;id>

示例：

ghostkatz logonpasswords -prv 1
   ghostkatz wdigest

![](https://mmbiz.qpic.cn/mmbiz_png/0KRmt3K30icWbMnUu5nJHfz8T4D4yYQ2lDor5t6TqLcZWTClM435R1BffLia004m4PuEbxSDOLhqiaibo52CPl5ONA/640?wx_fmt=png&from=appmsg&watermark=1#imgIndex=1)

其中-prv参数用于指定可利用的驱动提供者（provider）。这一设计再次体现出GhostKatz的研究导向：工具本身不自动“发现漏洞”，而是依赖研究人员明确选择前提条件。

五、与Mimikatz的对比：不是替代，而是分化

综合来看，GhostKatz并不是Mimikatz的升级版，而是代表了另一条演进路线：

• Mimikatz：功能全面，适合教学、取证、评估和多种场景，但高度“可识别”，容易触发检测。
• GhostKatz：功能集中，强调绕过用户态防护，更多用于验证现代Windows防护体系的盲区。

二者的关系，更像是“不同层级的工具”，而非新旧更替。

结语：技术探索与风险边界

GhostKatz的出现，再次提醒一个事实：Windows凭据保护的对抗重心，正在向内核与驱动层转移。仅依赖禁用LSASS转储或强化用户态监控，已经不足以覆盖全部风险面。

但同样必须明确的是，GhostKatz所依赖的技术路径本身风险极高：漏洞驱动、物理内存读取和内核操作，任何失误都可能导致系统不稳定甚至直接崩溃。因此，无论是研究、教学还是红队演练，都必须限定在合法授权与非生产环境中进行。

从安全研究角度看，GhostKatz更像是一面镜子——它照见的不是“更强的攻击工具”，而是防御体系尚未完全覆盖的现实边界。这一点，或许比工具本身更值得关注。

参考资源

1、https://github.com/RainbowDynamix/GhostKatz?tab=readme-ov-file#readme

2、https://www.securitylab.ru/news/568938.php

3、https://feifei.tw/mimikatz-windows-security-penetration-testing-guide/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《你没有看错，是GhostKatz不是Mimikatz，Windows系统口令提取最新工具！》