mimikatz

根据获取到的版本信息，编译信息等，按照固定格式的偏移值解析内存文件，获取内部的信息，并循环调用函数打印

kuhl_m_privilege_debug()

分发命令

调用每个命令对应的执行函数

sekurlsa::msv

mimikatz_doLocal（）

kuhl_m_sekurlsa_acquireLSA()

接收用户输入得命令

kuhl_m_sekurlsa_msv()

打开欢迎界面

检查是否有lsass进程或内存文件获取编译版本号，资源版本号等信息

privilege::debug 

没有则打印错误，结束

功能函数

mimikatz_dispatchCommand()

mimikatz_dispatchCommand（）

mimikatz_begin()

kuhl_m_sekurlsa_enum()

kuhl_m_sekurlsa_getLogonData()

调用RtlAdjustPrivilege函数（这个函数封装在NtDll.dll中（在所有DLL加载之前加载），被微软严格保密）来进行提权，传入的参数得作用就是选择获取什么权限

有则继续

kuhl_m_sekurlsa_enum_callback_logondata（）