Mimikatz源码免杀
目录
- 介绍
- 环境准备
- 处理报错
- 生成32位
- 生成64位
- 下载360、360杀毒
- 直接查杀
- 关键字替换-失败
- 去除注释,修改版本信息
- 删除注释信息
- 替换图标
- 修改版本信息
- 重新编译文件
- 过杀软
- 360家族
- 腾讯电脑管家
- 火绒
- 在线查杀
- 参考
学习一下月师傅的文章
介绍
Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。
原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。
注:一般定位特征码分为三种:
- 定位到代码上
- 定位到字符串上
- 定位到输入表上
环境准备
一台全新的win2012
- mimikatz https://github.com/gentilkiwi/mimikatz
- Microsoft Visual Studio 2012 http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso
Visual Studio 2012旗舰版序列号:
YKCW6-BPFPF-BT8C9-7DCTH-QXGWC
RBCXF-CVBGR-382MK-DFHJ4-C69G8
- 使用vs打开文件
- 试着编译文件,报了错,提示“Platform Toolset = ‘v110_xp’”
处理报错
- 修改平台工具集
- 修改为“否”
- 保存设置
生成32位
- 对着mimikatz鼠标右键选择“生成”
- 新生成一个文件夹“Win32”,里面出现一个exe文件
生成64位
- 修改解决方案
- 对着mimikatz鼠标右键选择“生成”
- 新生成一个文件夹“x64”,里面出现一个exe文件
下载360、360杀毒
直接查杀
把“环境准备”中生成的32位mimikatz使用杀软扫描,通过。
双击运行,直接被查杀
64位的mimikatz跟32位的情况一样。扫描通过,一旦运行直接被杀
关键字替换-失败
把关键字“mimikatz”全部替换为“lainwith”,看看免杀效果怎样。
- 查找替换
- 对以下内容修改名称
总共是对如下5处进行更改:先对mimikatz项目下的4处进行更改,之后对mimikatz项目名称进行更改
- 重新生成文件
一旦运行,立即被查杀
去除注释,修改版本信息
删除注释信息
替换图标
- 找到图标位置
- 用新图标替换掉它
修改版本信息
双击“mimidrv”目录下的“mimidrv.rc”文件,就可以看到版本信息了。直接在“资源视图”中是看不到的,需要双击“mimidrv.rc”才能进来。
- “CompanyName”中包含了“kiwi”关键字,删除它
删除之后
- 新建版本信息
新建之后
重新编译文件
过杀软
再克隆出2台全新的win2012,分别安装腾讯电脑管家和火绒
360家族
图标的显示有点问题,运行图标与桌面图标不一致,但是软件成功运行了,并且360和360杀毒没反应。
又过了短暂几秒之后,被杀了
之后再尝试把文件丢到win2012,被拒绝
腾讯电脑管家
火绒
刚复制到虚拟机上,就被杀了
在线查杀
参考
Mimikatz源码免杀
Mimikatz源码免杀相关推荐
- 源码免杀--反调试代码,免杀爱好者必备的利剑
源码免杀只处理特征码还是不够的,必须要加入反调试代码,这样才能更持久更耐用.这里就发几个暗夜经常用的反调试代码给大家. 1. HKEY ck; char strreg[] = {'S','O','F' ...
- 源码免杀-过启发式的思路
定位免杀NOD32的一些经验 ----collect dying site:http://www.idying.cn 欢迎大家一起讨论 先说下定位方法: 1 NOD32不能正向定位的,定位出来也是不能 ...
- 源码免杀处理的技巧与tips
2019独角兽企业重金招聘Python工程师标准>>> 首先,要了解编译中MAP的利用: 第一步设置VC编译环境生成Map文件. 在 VC 中,点击菜单"Proje ...
- 在linux下做源码免杀,Cobaltstrike免杀从源码级到落地思维转变
文章来源: https://www.freebuf.com/articles/web/258988.html 前言 距离上一篇文章<那些FastJson漏洞不为人知的事情(开发角度)>已经 ...
- 远控软件GHOST源码免杀
<script type="text/javascript"></script> 远控软件gh0st源码免杀 远控软件gh0st3.6开源了,开源意味着我们 ...
- 源码免杀教程 源码免杀思路详解
绝对不一样的源码免杀教程!绝对不一样的免杀实战体验!清晰的思路!细致全面的思路详解!让你感到免杀原来可以这么简单!教你如何在源代码中找出被杀代码,修改代码从而达到免杀效果! 免杀之-网络攻防入门书籍推 ...
- 小七免杀 源码免杀培训班
被杀毒软件误杀 为什么不学习免杀呢?小七免杀论坛 2013年源码免杀培训课程,带你走进杀毒软件的世界. 百度网盘:http://pan.baidu.com/s/1i3yxshB 提取密码:tt0q 第 ...
- 远控软件gh0st源码免杀之我谈
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作. 好久没有来博客了,我把免杀这部 ...
- 现在主流免杀是源码免杀
一.文件特征码定位: 一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还 是字符串,或者是输入表.输出表.版权信息等-定位在不同的地方,就要用不同 ...
最新文章
- 华为创造出5g和鸿蒙,拥有5G专利,开发鸿蒙系统:《华为智慧》复盘成长路总结成功之道...
- 【小工匠聊Modbus】05-数据类型
- yum搭建本地仓库、国内源、下载rpm包、源码安装
- 支付宝生成RSA密钥,上传应用公钥的完整流程
- 终端zsh_只需七个步骤,即可使您的“ ZSH”终端站起来—直观指南
- Linux安装使用redis
- Azkaban的Web Server源码探究系列22: 一次性执行execute的提交准备
- 蚂蚁金服 Service Mesh 大规模落地系列 - 网关篇
- 成都榆熙电子商务有限公司:商家提升DSR评分有什么好的方法?
- K8S pod 时区设置
- 笔记—学习【立创】如何使用示波器—测量一个波形
- Black-Scholes-Merton 方程解(基于风险中性定价)
- 前端测试系列---静态页面测试
- adb 文件传输,解决只读文件系统Read-only file system问题
- pyecharts-page的组合
- MOS 管 场效应管 应用
- 火灾(火焰)数据集链接
- 畅通工程之最低成本建设问题 (30分)
- 计算机应用期刊主编终审通过率,审稿快的期刊_最容易发表审稿快的学报_审稿快的三本或大专学报...
- 2023前端二面高频vue面试题集锦