1. 首页
  2. 红队技术

Mimikatz源码免杀

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。

原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。注:一般定位特征码分为三种:定位到代码上,定位到字符串上,定位到输入表上。

准备环境:

https://github.com/gentilkiwi/mimikatz

Microsoft Visual Studio 2012

安装依赖工具

Visual C++ MFC for and64

Desktop development withc++

使用Visual Studio打开测试是否能正常编译,注意:请修改编译环境为X64

Mimikatz源码免杀

第一次进行编译可能会出现问题,解决方法:安装Windows xp c++

报错:error MSB8020,解决方法:项目->属性->常规->平台工作集,将平台改为VS2012 (v110)后即可成功运行编译。

Mimikatz源码免杀

认编译版本是会被反病毒软件查杀的。以360安全卫士为例

Mimikatz源码免杀

通用阅读源码大体可以了解存在比较明显的关键字:mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下:

编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写

mimikatz替换为helloworld

MIMIKATZ替换为HELLOWORLD

将mimikatz.xx文件重命名为helloworld.xx(“xx“代表任意后缀)

编辑 mimikatz/mimikatz/helloworld.rc,将一些名称进行修改,还有种类编辑器注释作者名称。

编译以后使用世界杀毒网进行免杀测试

得到结果:扫描结果:10%的杀软(5/49)报告发现病毒

Mimikatz源码免杀

执行效果测试,正常运行且成功读取密码:

Mimikatz源码免杀

本文来自两个靓仔,经授权后发布,本文观点不代表立场,转载请联系原作者。

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息