獲取正在執行的程序的網路憑據？

如果 Windows 程序使用 ‘/netonly’ 參數以 ‘runas’ 執行，是否有任何方法可以查看它正在為網路使用哪些憑據？類似於您在任務管理器、“任務列表”或 Get-Process 中看到某個使用者正在執行程序的方式？

以任何具有管理權限的使用者身份執行以下操作。自然，這僅在已開始的程序runas /netonly訪問網路資源之後才有效。

• 打開具有提升權限的命令行（以管理員身份執行）並輸入klist sessions.
• 搜尋它所說的會話Negotiate:NewCredentials（來自/netonly開關 ➜ 登錄類型 9）並且包含執行runas命令的使用者名。
• 請注意會話 ID，例如0x154f7a8。
• 輸入命令klist -li 0x154f7a8。這將顯示此會話的所有 kerberos 票證。kerberos 票證被授予用於該runas /netonly命令的使用者帳戶。如果該命令沒有返回任何票證，則該程序尚未訪問網路資源，因此還沒有收到票證。在這種情況下，我認為您唯一的機會是使用mimikatz之類的東西從記憶體中讀取記憶體的憑據。

引用自：https://serverfault.com/questions/994076