忘了几时搞的了,过过静态没什么问题,实战运行差不多四五分钟就被联网查了,没什么用,也没技术含量,文章也是那个时候写完存在本地的,现在隐约感觉哪里有逻辑错误,但是我也懒得改了,给我凑篇水文而已(
Mimikatz
Github:https://github.com/gentilkiwi/mimikatz
在vs2019中安装所需要的组件
在github中下载源码,并导入vs2019中。
导入.sln解决方案,其中mimikatz是我们需要的工具
前往属性页,修改配置属性
这里需要将“将警告视为错误”修改为 否
不然你生成的时候会得到以下报错
尝试生成一个
能够正常使用
毫无疑问的,被火绒检测到直接清除
思路:替换特征、修改ico图标、修改版本信息、加壳、签名
点击编辑-查找和替换-快速替换
替换关键词为任意不相关的词
(大写,小写,文件开头的注释等)
将文件名头替换为前面的值(我这里替换的是light)
提取其他软件图标,并替换mimikatz目录下的图标
做完上述操作后,重新生成.exe
上面的操作编译完后依旧会被查杀,这里继续尝试免杀操作(PS:重复了前面的操作后,这边换了个名字,为lighthouse,操作都一样
使用工具Resource Hacker替换版本
使用工具VMProtect Ultimate进行加壳
使用工具sigthief.py进行签名
Github:
https://github.com/secretsquirrel/SigThief
用法:
python3 sigthief.py -i <提供正常签名的程序> -t <需要签名的程序> -o <完成后输出的文件名>
扫描软件,并执行命令
privilege::debug
sekurlsa::logonpasswords
参考文章:
失败mimikatz源码免杀和成功的免杀Windows Defender
https://xz.aliyun.com/t/10821#toc-0
语雀 mimikatz免杀的方式
https://www.yuque.com/zirc0n/escbhg/xzs806#9aad730c