目录

  • 介绍
  • 环境准备
    • 处理报错
    • 生成32位
    • 生成64位
    • 下载360、360杀毒
    • 直接查杀
  • 关键字替换-失败
  • 去除注释,修改版本信息
    • 删除注释信息
    • 替换图标
    • 修改版本信息
    • 重新编译文件
    • 过杀软
      • 360家族
      • 腾讯电脑管家
      • 火绒
    • 在线查杀
  • 参考

学习一下月师傅的文章

介绍

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。

原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。

注:一般定位特征码分为三种:

  1. 定位到代码上
  2. 定位到字符串上
  3. 定位到输入表上

环境准备

一台全新的win2012

  1. mimikatz https://github.com/gentilkiwi/mimikatz
  2. Microsoft Visual Studio 2012 http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso

Visual Studio 2012旗舰版序列号:
YKCW6-BPFPF-BT8C9-7DCTH-QXGWC
RBCXF-CVBGR-382MK-DFHJ4-C69G8

  1. 使用vs打开文件

  1. 试着编译文件,报了错,提示“Platform Toolset = ‘v110_xp’”

处理报错

  1. 修改平台工具集

  1. 修改为“否”

  1. 保存设置

生成32位

  1. 对着mimikatz鼠标右键选择“生成”

  1. 新生成一个文件夹“Win32”,里面出现一个exe文件

生成64位

  1. 修改解决方案

  1. 对着mimikatz鼠标右键选择“生成”

  1. 新生成一个文件夹“x64”,里面出现一个exe文件

下载360、360杀毒

直接查杀

把“环境准备”中生成的32位mimikatz使用杀软扫描,通过。

双击运行,直接被查杀

64位的mimikatz跟32位的情况一样。扫描通过,一旦运行直接被杀

关键字替换-失败

把关键字“mimikatz”全部替换为“lainwith”,看看免杀效果怎样。

  1. 查找替换

  1. 对以下内容修改名称

总共是对如下5处进行更改:先对mimikatz项目下的4处进行更改,之后对mimikatz项目名称进行更改

  1. 重新生成文件

一旦运行,立即被查杀

去除注释,修改版本信息

删除注释信息

替换图标

  1. 找到图标位置

  1. 用新图标替换掉它

修改版本信息

双击“mimidrv”目录下的“mimidrv.rc”文件,就可以看到版本信息了。直接在“资源视图”中是看不到的,需要双击“mimidrv.rc”才能进来。

  1. “CompanyName”中包含了“kiwi”关键字,删除它

删除之后

  1. 新建版本信息

新建之后

重新编译文件

过杀软

再克隆出2台全新的win2012,分别安装腾讯电脑管家和火绒

360家族

图标的显示有点问题,运行图标与桌面图标不一致,但是软件成功运行了,并且360和360杀毒没反应。

又过了短暂几秒之后,被杀了

之后再尝试把文件丢到win2012,被拒绝

腾讯电脑管家

火绒

刚复制到虚拟机上,就被杀了

在线查杀

参考

Mimikatz源码免杀

Mimikatz源码免杀相关推荐

  1. 源码免杀--反调试代码,免杀爱好者必备的利剑

    源码免杀只处理特征码还是不够的,必须要加入反调试代码,这样才能更持久更耐用.这里就发几个暗夜经常用的反调试代码给大家. 1. HKEY ck; char strreg[] = {'S','O','F' ...

  2. 源码免杀-过启发式的思路

    定位免杀NOD32的一些经验 ----collect dying site:http://www.idying.cn 欢迎大家一起讨论 先说下定位方法: 1 NOD32不能正向定位的,定位出来也是不能 ...

  3. 源码免杀处理的技巧与tips

    2019独角兽企业重金招聘Python工程师标准>>> 首先,要了解编译中MAP的利用:     第一步设置VC编译环境生成Map文件. 在 VC 中,点击菜单"Proje ...

  4. 在linux下做源码免杀,Cobaltstrike免杀从源码级到落地思维转变

    文章来源: https://www.freebuf.com/articles/web/258988.html 前言 距离上一篇文章<那些FastJson漏洞不为人知的事情(开发角度)>已经 ...

  5. 远控软件GHOST源码免杀

    <script type="text/javascript"></script> 远控软件gh0st源码免杀 远控软件gh0st3.6开源了,开源意味着我们 ...

  6. 源码免杀教程 源码免杀思路详解

    绝对不一样的源码免杀教程!绝对不一样的免杀实战体验!清晰的思路!细致全面的思路详解!让你感到免杀原来可以这么简单!教你如何在源代码中找出被杀代码,修改代码从而达到免杀效果! 免杀之-网络攻防入门书籍推 ...

  7. 小七免杀 源码免杀培训班

    被杀毒软件误杀 为什么不学习免杀呢?小七免杀论坛 2013年源码免杀培训课程,带你走进杀毒软件的世界. 百度网盘:http://pan.baidu.com/s/1i3yxshB 提取密码:tt0q 第 ...

  8. 远控软件gh0st源码免杀之我谈

    远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作. 好久没有来博客了,我把免杀这部 ...

  9. 现在主流免杀是源码免杀

    一.文件特征码定位:  一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还  是字符串,或者是输入表.输出表.版权信息等-定位在不同的地方,就要用不同 ...

最新文章

  1. 华为创造出5g和鸿蒙,拥有5G专利,开发鸿蒙系统:《华为智慧》复盘成长路总结成功之道...
  2. 【小工匠聊Modbus】05-数据类型
  3. yum搭建本地仓库、国内源、下载rpm包、源码安装
  4. 支付宝生成RSA密钥,上传应用公钥的完整流程
  5. 终端zsh_只需七个步骤,即可使您的“ ZSH”终端站起来—直观指南
  6. Linux安装使用redis
  7. Azkaban的Web Server源码探究系列22: 一次性执行execute的提交准备
  8. 蚂蚁金服 Service Mesh 大规模落地系列 - 网关篇
  9. 成都榆熙电子商务有限公司:商家提升DSR评分有什么好的方法?
  10. K8S pod 时区设置
  11. 笔记—学习【立创】如何使用示波器—测量一个波形
  12. Black-Scholes-Merton 方程解(基于风险中性定价)
  13. 前端测试系列---静态页面测试
  14. adb 文件传输,解决只读文件系统Read-only file system问题
  15. pyecharts-page的组合
  16. MOS 管 场效应管 应用
  17. 火灾(火焰)数据集链接
  18. 畅通工程之最低成本建设问题 (30分)
  19. 计算机应用期刊主编终审通过率,审稿快的期刊_最容易发表审稿快的学报_审稿快的三本或大专学报...
  20. 2023前端二面高频vue面试题集锦

热门文章

  1. 海康威视工业相机SDK二次开发
  2. 通过CFA一级有用吗?是什么水平?
  3. C语言入门——判断年份是否为闰年
  4. 【Keras-ResNet】CIFAR-10
  5. 用Python来可视化微信好友
  6. 每周推荐 - 稻盛和夫的《活法》
  7. 换新网络后,群辉NAS如何手动更换为新静态IP
  8. 【实践】——PowerBuilder登录+PB自带数据库
  9. 2003系统 金碟服务器设置,金蝶K3软件系统在Win2003环境的设置指南
  10. Javscript数组中最常用的方法(建议收藏)