保护私有证书免受Mimikatz攻击的方法之一是使用硬件安全模块（HSM）来存储和管理私钥。以下是一个示例代码，演示如何使用Microsoft的CNG API在HSM中保护私有证书。

#include 
#include 

// 加载私钥
BCRYPT_KEY_HANDLE LoadPrivateKeyFromHSM()
{
    BCRYPT_KEY_HANDLE hKey = NULL;
    LPCWSTR pszProvider = MS_KEY_STORAGE_PROVIDER;
    LPCWSTR pszContainer = L"MyHSMContainer";
    DWORD dwFlags = CRYPT_SILENT;
    
    // 打开HSM存储提供者
    if (BCryptOpenStorageProvider(&hProv, pszProvider, 0) != 0)
    {
        return NULL;
    }
    
    // 导入私钥
    if (BCryptImportKeyPair(hProv, NULL, BCRYPT_PRIVATE_KEY_BLOB, &hKey, pbKeyBlob, cbKeyBlob, dwFlags) != 0)
    {
        BCryptCloseAlgorithmProvider(hProv, 0);
        return NULL;
    }
    
    return hKey;
}

// 使用私钥进行加密
BOOL EncryptWithPrivateKey(BCRYPT_KEY_HANDLE hKey, PBYTE pbData, DWORD cbData, PBYTE pbEncryptedData, DWORD* pcbEncryptedData)
{
    BCRYPT_PKCS1_PADDING_INFO paddingInfo = { 0 };
    paddingInfo.pszAlgId = BCRYPT_RSA_ALGORITHM;
    
    // 加密数据
    if (BCryptEncrypt(hKey, pbData, cbData, &paddingInfo, NULL, 0, pbEncryptedData, *pcbEncryptedData, pcbEncryptedData, 0) != 0)
    {
        return FALSE;
    }
    
    return TRUE;
}

// 解密数据
BOOL DecryptWithPrivateKey(BCRYPT_KEY_HANDLE hKey, PBYTE pbEncryptedData, DWORD cbEncryptedData, PBYTE pbData, DWORD* pcbData)
{
    BCRYPT_PKCS1_PADDING_INFO paddingInfo = { 0 };
    paddingInfo.pszAlgId = BCRYPT_RSA_ALGORITHM;
    
    // 解密数据
    if (BCryptDecrypt(hKey, pbEncryptedData, cbEncryptedData, &paddingInfo, NULL, 0, pbData, *pcbData, pcbData, 0) != 0)
    {
        return FALSE;
    }
    
    return TRUE;
}

以上代码示例了如何在HSM中加载私钥，使用私钥对数据进行加密和解密。通过将私钥存储在HSM中，可以有效地保护私有证书免受Mimikatz等工具的攻击。请注意，这只是一个示例代码，具体的实现方式可能因使用的HSM和API而有所不同。