PrincipleCheck/KslKatzBof

# KslKatzBOF 一个使用 KslD.sys BYOVD 技术从 C2 进行内联 LSASS 凭证提取的 Beacon Object File (BOF)。 本项目基于以下博客文章： https://avantguard.io/blog/erfahrungsbericht-ki-gest%C3%BCtzte-bof-entwicklung-im-red-team ## 归属 该 BOF 基于 **KslKatz**（**Maximilian Barz**），而 KslKatz 本身又建立在两个基础项目之上： - **KslDump** – 通过 KslD.sys（Microsoft Defender 的内核驱动）进行 BYOVD 物理内存访问 - **GhostKatz** – 通过物理内存进行基于 BOF 的 LSASS 提取 此外，该漏洞的主要来源似乎是 **maxkray13** 及其项目 Defender ## 功能说明 在不注入进程的情况下，从受 PPL 保护的 LSASS 中提取凭证，仅使用磁盘上已存在的 Microsoft 签名组件： - **MSV1_0** — 每个登录会话的 NT 哈希 - **WDigest** — 明文密码（在启用缓存时） ## 构建 ``` make ``` 生成 `bin/kslkatzbof.x64.o`。 ## 使用方法 使用您首选的 BOF 加载器加载该 BOF。 ## 免责声明 仅限授权的安全测试使用。在未获得明确许可的情况下将此工具用于系统属于非法行为。

标签：BYOVD, Cobalt Strike BOF, KslD.sys, LSASS, Mimikatz, NTLM 哈希, PPL 绕过, RFI远程文件包含, SecList, TGT, WDigest, Windows 安全, 内存取证, 内核驱动, 安全测试, 客户端加密, 攻击性安全, 攻防演练, 数据展示, 明文密码, 物理内存, 知识库安全, 红队, 网络协议, 驱动加载