mimikatz简易过静态查杀
2022-10-17 18:5:21 Author: E条咸鱼(查看原文) 阅读量:18 收藏

忘了几时搞的了,过过静态没什么问题,实战运行差不多四五分钟就被联网查了,没什么用,也没技术含量,文章也是那个时候写完存在本地的,现在隐约感觉哪里有逻辑错误,但是我也懒得改了,给我凑篇水文而已(

Mimikatz
Github:https://github.com/gentilkiwi/mimikatz

  1. 在vs2019中安装所需要的组件

  1. 在github中下载源码,并导入vs2019中。

导入.sln解决方案,其中mimikatz是我们需要的工具

  1. 前往属性页,修改配置属性

这里需要将“将警告视为错误”修改为 否

不然你生成的时候会得到以下报错

  1. 尝试生成一个

能够正常使用

  1. 毫无疑问的,被火绒检测到直接清除

思路:替换特征、修改ico图标、修改版本信息、加壳、签名

  1. 点击编辑-查找和替换-快速替换

  1. 替换关键词为任意不相关的词

(大写,小写,文件开头的注释等)

  1. 将文件名头替换为前面的值(我这里替换的是light)

  1. 提取其他软件图标,并替换mimikatz目录下的图标

  1. 做完上述操作后,重新生成.exe

上面的操作编译完后依旧会被查杀,这里继续尝试免杀操作(PS:重复了前面的操作后,这边换了个名字,为lighthouse,操作都一样

  1. 使用工具Resource Hacker替换版本

  1. 使用工具VMProtect Ultimate进行加壳

  1. 使用工具sigthief.py进行签名

Github:
https://github.com/secretsquirrel/SigThief
用法:
python3 sigthief.py -i <提供正常签名的程序> -t <需要签名的程序> -o <完成后输出的文件名>

  1. 扫描软件,并执行命令

privilege::debug
sekurlsa::logonpasswords

参考文章:
失败mimikatz源码免杀和成功的免杀Windows Defender
https://xz.aliyun.com/t/10821#toc-0
语雀 mimikatz免杀的方式
https://www.yuque.com/zirc0n/escbhg/xzs806#9aad730c


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDE2Mg==&mid=2247485466&idx=1&sn=d70ac994eff4612c4e9bb3db07fd9852&chksm=fbf8bac7cc8f33d18601f16ebba3855d312c7b79535c85c9e3cc0978621c73d1f56aae7d1bbf#rd
如有侵权请联系:admin#unsafe.sh