Mimikatz源码免杀

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存，并且获取明文密码和NTLM哈希值的工具，攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大，我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。

原理:源码免杀也是基于特征码的一种免杀方式，只需要定位源码中的特征代码进行修改就可以达到免杀效果。注：一般定位特征码分为三种：定位到代码上，定位到字符串上，定位到输入表上。

准备环境：

https://github.com/gentilkiwi/mimikatz

Microsoft Visual Studio 2012

安装依赖工具

Visual C++ MFC for and64

Desktop development withc++

使用Visual Studio打开测试是否能正常编译，注意：请修改编译环境为X64

第一次进行编译可能会出现问题，解决方法：安装Windows xp c++

报错：error MSB8020，解决方法：项目->属性->常规->平台工作集，将平台改为VS2012 (v110)后即可成功运行编译。

认编译版本是会被反病毒软件查杀的。以360安全卫士为例

通用阅读源码大体可以了解存在比较明显的关键字：mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下：

编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写

mimikatz替换为helloworld

MIMIKATZ替换为HELLOWORLD

将mimikatz.xx文件重命名为helloworld.xx（“xx“代表任意后缀）

编辑 mimikatz/mimikatz/helloworld.rc，将一些名称进行修改，还有种类编辑器注释作者名称。

编译以后使用世界杀毒网进行免杀测试

得到结果：扫描结果:10%的杀软(5/49)报告发现病毒

执行效果测试，正常运行且成功读取密码：