0x01 基础信息 具体信息详情ATT&CK编号T1003-004所属战术阶段凭据访问操作系统windows 7 旗舰版 SP1创建时间2022年12月2日监测平台火绒安全、火绒剑、sysmon 0X02 技术原理 对主机具有 SYSTEM 访问权限的攻击者可能会尝试访问本地安全机构 (LSA) 机密，其中可能包含各种不同的凭证材料，例如服务帐户的凭证。 LSA 机密存储在注册表中的HKE