文章总结： 本文详细介绍了GhostKatz工具，该工具利用BYOVD技术加载漏洞驱动读取物理内存，从而绕过EDR检测并窃取LSASS凭据。文章阐述了其内核级绕过原理、核心功能及在CobaltStrike中的具体使用方法，同时也提示了蓝屏风险。文末包含大量免杀工具推广及社群广告，技术部分具有一定实战参考价值，但广告性质明显。 综合评分： 65 文章分类： 红队,安全工具,免杀,内网渗透,软文广告

GhostKatz深度解析：内核驱动绕过EDR，隐蔽窃取LSASS凭据的红队神器

原创

星夜AI安全 星夜AI安全

星夜AI安全

2026年3月10日 08:37 吉林

GhostKatz深度解析：内核驱动绕过EDR，隐蔽窃取LSASS凭据的红队神器

1. 项目介绍 (Introduction)

GhostKatz 是一个用于从物理内存中直接提取 LSASS（Local Security Authority Subsystem Service）凭据的安全工具。它通过利用已签名的易受攻击的驱动程序（BYOVD – Bring Your Own Vulnerable Driver）来获取物理内存读取权限，从而绕过传统的用户模式检测机制。

该项目本质上是一个 Cobalt Strike 的 Beacon Object File (BOF) 插件，旨在帮助红队人员在受严格监控的环境中转储凭据。

2. 核心功能 (Features)

• 物理内存读取: 利用内核驱动程序（如 Toshiba 的 tpwsav.sys 或 TechPowerUp 的 throttlestop.sys）映射物理内存 (MmMapIoSpace) 并读取内容。

• 凭据转储:

• 支持 logonpasswords: 提取 MSV1_0 登录凭据。

• WDigest: 提取 WDigest 凭据。

• 规避检测: 不使用标准的 OpenProcess 或 ReadProcessMemory API 读取 LSASS，从而避开 EDR/AV 的 API Hook 监控。

• 模块化驱动支持: 允许用户扩展和集成其他存在读取原语漏洞的驱动程序。

• 自动化操作: 配套的 Aggressor Script (ghostkatz.cna) 自动处理驱动上传、执行和清理。

3. 作用与解决的问题 (Role & Problem Solved)

作用

GhostKatz 充当一个隐蔽的凭据窃取工具，主要用于渗透测试和红队演练的横向移动阶段。

解决的问题

传统的凭据转储工具（如 Mimikatz）通常直接与 LSASS 进程交互：

1. API 监控: 许多安全产品（EDR/AV）会监控对 LSASS 进程的句柄获取 (OpenProcess) 和内存读取操作。
2. 特征检测: 内存中的 Mimikatz 特征码容易被扫描发现。

GhostKatz 解决了上述问题：

• 内核级绕过: 通过加载合法的（但有漏洞的）签名驱动进入内核，利用驱动读取物理内存。这意味着它不需要在用户模式下直接触碰 LSASS 进程，从而绕过了针对 LSASS 访问的用户模式钩子。
• 无文件/内存执行: 作为 BOF 运行，主要逻辑在 Beacon 内存中执行，减少了落地文件的特征。

4. 如何使用 (Usage)

前置条件

• Cobalt Strike 环境
• 目标机器需要具有加载驱动的权限（通常需要管理员/System权限）
• 编译环境（如 MinGW 或 Visual Studio）用于编译 BOF

步骤

1. 编译项目: 在项目根目录下运行 make 命令以生成 .o (BOF) 文件。

   make

2. 加载插件: 在 Cobalt Strike 客户端中，加载 ghostkatz.cna Aggressor Script。
3. 执行命令: 在 Beacon 控制台中运行以下命令：

• mode: logonpasswords (dump MSV1) 或 wdigest (dump WDigest)

• provider id: 指定要使用的易受攻击驱动

• 1: Toshiba (tpwsav.sys)

• 2: TechPowerUp (throttlestop.sys)

• 语法: ghostkatz [mode] -prv <provider id>

• 参数说明:

• 示例:

  # 使用 Toshiba 驱动转储登录密码
  ghostkatz logonpasswords -prv 1

  # 转储 WDigest 凭据
  ghostkatz wdigest -prv 2

注意事项

• 蓝屏风险 (BSOD): 由于涉及内核驱动和物理内存操作，如果不稳定可能导致目标系统蓝屏崩溃。
• 驱动清理: 脚本会尝试在执行后删除上传的驱动文件，但在异常情况下可能需要手动清理。

关注微信公众号后台回复 入群  即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump 免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）
• DumpBrowser_V1免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具   HDKiller （包含源码）
• win11 一键kill 360工具   InjectKill （包含源码）
• win11 一键kill defender工具  win11_df-killer （包含源码）
• 免杀火绒6.0内存防护加载器  BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《GhostKatz深度解析：内核驱动绕过EDR，隐蔽窃取LSASS凭据的红队神器》