关于ssp后门的一些补充

之前在乌云转载了三好学生的这篇文章，详细讲述了什么是SSP(Security Support Provider) 以及如何使用 mimilib.dll&注册表 来维持域控权限。这里再记录一下如何使用mimikatz的ssp注入lsass进程来实现记录密码的目的（重启失效）

这个新注入的ssp可以记录计算机账户密码，运行服务凭据和登陆的任何账户 在非域环境下测试，生成的密码记录文件默认位置在 system32\mimilsa.log

防御方法： 监控cmd和powershell在域控上的运行