Mimikatz 高版本 Windows 适配改造教学文档<\/h1>

1. 问题背景<\/h2>

1.1 现状描述<\/h3>
Mimikatz 在 Windows 11 24H2 版本中无法正常提取凭据<\/li>
错误信息显示：
ERROR kuhl_m_sekurlsa_acquireLSA ; Logon list<\/code><\/li>
Hash 传递利用时报错：ERROR kuhl_m_sekurlsa_pth_luid ; memory handle is not KULL_M_MEMORY_TYPE_PROCESS<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
1.2 影响范围<\/h3>

主要影响 Windows 11 24H2 及以上版本<\/li>
23H2 及以下版本仍可正常使用<\/li>
问题与 PPL、Credential Guard、VBS 等安全机制无关<\/li>
<\/ul>
2. 技术原理分析<\/h2>
2.1 Mimikatz 凭据提取机制<\/h3>
Mimikatz 通过以下步骤提取凭据：<\/p>

在 lsasrv.dll<\/code> 中定位两个关键全局变量：

LogonSessionList<\/code>：登录会话链表<\/li>
LogonSessionListCount<\/code>：登录会话数量<\/li>
<\/ul>
<\/li>
遍历 LogonSessionList<\/code> 链表获取凭据信息<\/li>
<\/ol>
2.2 Windows 24H2 的变化<\/h3>

内存寻址方式从 RIP 相对寻址改为使用 R13 寄存器<\/li>
相关结构体发生偏移变化：

KIWI_MSV1_0_LIST<\/code> 结构体布局改变<\/li>
MSV1_0_PRIMARY_CREDENTIAL<\/code> 结构体发生变化<\/li>
<\/ul>
<\/li>
<\/ul>
3. 解决方案实现<\/h2>
3.1 参考项目分析<\/h3>
pypykatz 项目成功解析了 24H2 的 dump 文件，关键修改包括：<\/p>
template.<\/span>first_entry_offset_correction =<\/span> 34<\/span>
<\/span><\/span><\/code><\/pre>3.2 寻址方式适配<\/h3>
3.2.1 旧版本寻址（RIP 相对寻址）<\/h4>
目标地址 = 当前地址 + 指令长度 + 偏移量
<\/code><\/pre>
3.2.2 新版本寻址（R13 寄存器）<\/h4>

需要找到 R13 寄存器的赋值来源<\/li>
在赋值点基础上添加偏移量计算目标地址<\/li>
<\/ul>
3.3 结构体定义修改<\/h3>
3.3.1 KIWI_MSV1_0_LIST 结构体更新<\/h4>
需要根据 pypykatz 项目的实现更新结构体定义：<\/p>
\/\/ 更新后的结构体定义示例
<\/span><\/span><\/span><\/span>typedef<\/span> struct<\/span> _KIWI_MSV1_0_LIST_24H2 {
<\/span><\/span>    \/\/ 新的字段布局
<\/span><\/span><\/span><\/span>    ULONG_PTR Flink;
<\/span><\/span>    ULONG_PTR Blink;
<\/span><\/span>    \/\/ 其他字段...
<\/span><\/span><\/span><\/span>    \/\/ 注意 UserName 等字段的偏移发生变化
<\/span><\/span><\/span><\/span>} KIWI_MSV1_0_LIST_24H2, *<\/span>PKIWI_MSV1_0_LIST_24H2;
<\/span><\/span><\/code><\/pre>3.3.2 MSV1_0_PRIMARY_CREDENTIAL 结构体更新<\/h4>
凭据相关结构体也需要相应调整：<\/p>
\/\/ 更新后的主凭据结构体
<\/span><\/span><\/span><\/span>typedef<\/span> struct<\/span> _MSV1_0_PRIMARY_CREDENTIAL_24H2 {
<\/span><\/span>    \/\/ 新的字段定义
<\/span><\/span><\/span><\/span>    \/\/ 注意加密凭据的存储位置变化
<\/span><\/span><\/span><\/span>} MSV1_0_PRIMARY_CREDENTIAL_24H2, *<\/span>PMSV1_0_PRIMARY_CREDENTIAL_24H2;
<\/span><\/span><\/code><\/pre>3.4 版本检测逻辑<\/h3>
添加 Windows 版本检测机制：<\/p>
\/\/ 版本检测示例
<\/span><\/span><\/span><\/span>BOOL IsWindows24H2OrLater<\/span>() {
<\/span><\/span>    OSVERSIONINFOEX osvi;
<\/span><\/span>    DWORDLONG dwlConditionMask =<\/span> 0<\/span>;
<\/span><\/span>    
<\/span><\/span>    \/\/ 设置版本检测条件
<\/span><\/span><\/span><\/span>    osvi.dwOSVersionInfoSize =<\/span> sizeof<\/span>(OSVERSIONINFOEX);
<\/span><\/span>    osvi.dwMajorVersion =<\/span> 10<\/span>;
<\/span><\/span>    osvi.dwMinorVersion =<\/span> 0<\/span>;
<\/span><\/span>    osvi.dwBuildNumber =<\/span> 26000<\/span>; \/\/ 24H2 构建号
<\/span><\/span><\/span><\/span>    
<\/span><\/span>    VER_SET_CONDITION(dwlConditionMask, VER_BUILDNUMBER, VER_GREATER_EQUAL);
<\/span><\/span>    
<\/span><\/span>    return<\/span> VerifyVersionInfo(&<\/span>osvi, VER_BUILDNUMBER, dwlConditionMask);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.5 签名与偏移量更新<\/h3>
3.5.1 提取新签名<\/h4>

分析 24H2 版本的 lsasrv.dll<\/code><\/li>
定位 LogonSessionList<\/code> 和 LogonSessionListCount<\/code> 的新签名<\/li>
计算正确的偏移量<\/li>
<\/ol>
3.5.2 偏移量计算示例<\/h4>
\/\/ 针对不同版本使用不同的偏移量
<\/span><\/span><\/span><\/span>if<\/span> (IsWindows24H2OrLater()) {
<\/span><\/span>    signatureOffset =<\/span> NEW_24H2_OFFSET;
<\/span><\/span>    structureType =<\/span> KIWI_STRUCTURE_24H2;
<\/span><\/span>} else<\/span> {
<\/span><\/span>    signatureOffset =<\/span> LEGACY_OFFSET;
<\/span><\/span>    structureType =<\/span> KIWI_STRUCTURE_LEGACY;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>4. 实现步骤详解<\/h2>
4.1 第一步：分析 pypykatz 实现<\/h3>

研究 pypykatz 项目中 24H2 支持的实现<\/li>
重点关注 first_entry_offset_correction<\/code> 参数<\/li>
理解 R13 寄存器的处理逻辑<\/li>
<\/ul>
4.2 第二步：定位合适的计算点<\/h3>
在 Mimikatz 代码中寻找：<\/p>

仍然使用 RIP 相对寻址的代码段<\/li>
可以绕过 R13 寄存器复杂计算的位置<\/li>
<\/ul>
4.3 第三步：更新结构体定义<\/h3>

添加 24H2 专用结构体定义<\/li>
保持向后兼容性<\/li>
确保内存对齐正确<\/li>
<\/ol>
4.4 第四步：添加版本选择逻辑<\/h3>

实现版本检测函数<\/li>
在运行时动态选择正确的结构体和偏移量<\/li>
处理版本间的不兼容性<\/li>
<\/ol>
4.5 第五步：测试验证<\/h3>

在 24H2 环境测试提取功能<\/li>
验证凭据注入功能（如 hash 传递）<\/li>
确保不影响旧版本支持<\/li>
<\/ol>
5. 关键注意事项<\/h2>
5.1 兼容性保证<\/h3>

必须保持对旧版本 Windows 的完整支持<\/li>
使用条件编译或运行时检测避免破坏现有功能<\/li>
<\/ul>
5.2 加解密方法<\/h3>

幸运的是，24H2 没有改变凭据的加解密方法<\/li>
主要修改集中在结构体布局和内存寻址<\/li>
<\/ul>
5.3 调试技巧<\/h3>

使用 UserName 字段作为调试参考点<\/li>
对比 pypykatz 的解析结果验证正确性<\/li>
注意链表结构的完整性验证<\/li>
<\/ul>
6. 编译与部署<\/h2>
6.1 编译要求<\/h3>

更新头文件包含新的结构体定义<\/li>
确保版本检测逻辑正确实现<\/li>
测试所有功能模块的兼容性<\/li>
<\/ul>
6.2 测试方案<\/h3>

在 Windows 11 24H2 环境测试提取功能<\/li>
验证凭据注入和 hash 传递功能<\/li>
在低版本 Windows 确认回归测试通过<\/li>
<\/ol>
7. 总结<\/h2>
通过分析 Windows 24H2 的内存寻址变化和结构体布局调整，成功适配了 Mimikatz 工具。关键改进包括：<\/p>

寻址方式适配<\/strong>：处理从 RIP 到 R13 寄存器的变化<\/li>
结构体更新<\/strong>：根据新版本调整关键数据结构定义<\/li>
版本智能检测<\/strong>：运行时自动选择正确的处理逻辑<\/li>
向后兼容<\/strong>：确保不影响旧版本系统的支持<\/li>
<\/ol>
此解决方案使得 Mimikatz 能够在 Windows 11 24H2 及以上版本中正常提取和操作凭据，同时保持了工具的原有功能和兼容性。<\/p>