1. 首页
  2. 红队技术

ByPass Av MiMiKatz

大家在日常使用MiMikatz都会遇到被杀软给kill掉,一般情况下会选择powershell版或使用Cs反弹来读取密码,但总会有那么几台机器不出网,让你无从下手,那么我们就要想办法绕过杀软检测执行读取密码操作,由此引发俺针对MiMikatz免杀想法。

编译&免杀 编译错误

Vs2019在编译源码时候会出现C2220错误

ByPass Av MiMiKatz
ByPass Av MiMiKatz

原版编译

体积大小

ByPass Av MiMiKatz

PE内容

ByPass Av MiMiKatz

通过PE内容可以看出一些MiMikatz用到的函数名、类名等关键词,别说杀软只要你阅读过MiMikatz源码就知道这是MiMikatz。

下面做些小测试:

断网查杀此原版exe内容如下图,卡巴直接识别出是Mimkatz

ByPass Av MiMiKatz

详细信息内各类关键词一看就知道是MiMikatz

ByPass Av MiMiKatz

那么我们针对该版本MiMikatz卡巴查杀定位特征码,抽取第一个特征码作为例子:

ByPass Av MiMiKatz
ByPass Av MiMiKatz

通过上面的测试大概就能得出一些知识点:

比如

删除无用注释

删除空行

删除无用资源

删除代码层MIMIKATZ特征

删除默认资源,如ICO图标

混淆编译完程序(加壳)

克隆签名

由上引发的测试如下

ByPass Av MiMiKatz
ByPass Av MiMiKatz
ByPass Av MiMiKatz

测试卡巴斯基动画如下

ByPass Av MiMiKatz

思路扩展和设想

构造程序加密mimikatz.dll

购买商业壳

二改MIMIkatz删减无用功能模块

对输入输出加密

本文来自Star,经授权后发布,本文观点不代表立场,转载请联系原作者。

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息