ByPass Av MiMiKatz

大家在日常使用MiMikatz都会遇到被杀软给kill掉，一般情况下会选择powershell版或使用Cs反弹来读取密码，但总会有那么几台机器不出网，让你无从下手，那么我们就要想办法绕过杀软检测执行读取密码操作，由此引发俺针对MiMikatz免杀想法。

编译&免杀 编译错误

Vs2019在编译源码时候会出现C2220错误

原版编译

体积大小

PE内容

通过PE内容可以看出一些MiMikatz用到的函数名、类名等关键词，别说杀软只要你阅读过MiMikatz源码就知道这是MiMikatz。

下面做些小测试：

断网查杀此原版exe内容如下图，卡巴直接识别出是Mimkatz

详细信息内各类关键词一看就知道是MiMikatz

那么我们针对该版本MiMikatz卡巴查杀定位特征码，抽取第一个特征码作为例子：

通过上面的测试大概就能得出一些知识点：

比如

删除无用注释

删除空行

删除无用资源

删除代码层MIMIKATZ特征

删除默认资源，如ICO图标

混淆编译完程序(加壳)

克隆签名

由上引发的测试如下

测试卡巴斯基动画如下

思路扩展和设想

构造程序加密mimikatz.dll

购买商业壳

二改MIMIkatz删减无用功能模块

对输入输出加密