Mimikatz

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用（0x17）、異常票證存活時間，以及 Splunk 與 Elastic 中的 krbtgt 異常，偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵，並提供實用的偵測指引。

detecting-credential-dumping-techniques 技能可協助你偵測 LSASS 存取、SAM 匯出、NTDS.dit 竊取，以及透過 comsvcs.dll 的 MiniDump 濫用，並使用 Sysmon Event ID 10、Windows Security 記錄與 SIEM 關聯規則來進行分析。它是為威脅獵捕、偵測工程與 Security Audit 工作流程而設計。

deploying-active-directory-honeytokens 協助防守者規劃並產生 Active Directory honeytokens，適用於 Security Audit 工作，包括偽造特權帳號、用於 Kerberoasting 偵測的偽 SPN、誘餌 GPO 陷阱，以及具欺騙性的 BloodHound 路徑。它把偏安裝導向的指引與腳本、遙測提示結合起來，方便實際部署與檢視。

conducting-pass-the-ticket-attack 是一個用於資安稽核與紅隊演練的技能，協助你規劃與記錄 Pass-the-Ticket（PtT）流程。它可幫助你檢視 Kerberos 票證、對應偵測訊號，並使用 conducting-pass-the-ticket-attack skill 產出結構化的驗證或報告流程。

這份 conducting-domain-persistence-with-dcsync 指南適用於授權的 Active Directory 安全稽核工作。透過隨附的腳本、參考資料與報告範本，了解如何安裝、使用與規劃工作流程，以評估 DCSync 權限、KRBTGT 暴露、Golden Ticket 風險與修補步驟。