mimikatz简易过静态查杀
2023-02-18 16:49:14 时间
前言
忘了几时搞的了,过过静态没什么问题,实战运行差不多四五分钟就被联网查了,没什么用,也没技术含量,文章也是那个时候写完存在本地的,现在隐约感觉哪里有逻辑错误,但是我也懒得改了,给我凑篇水文而已(
Mimikatz Github:https://github.com/gentilkiwi/mimikatz
环境安装
- 在vs2019中安装所需要的组件
- 在github中下载源码,并导入vs2019中。
导入.sln解决方案,其中mimikatz是我们需要的工具
- 前往属性页,修改配置属性
这里需要将“将警告视为错误”修改为 否
不然你生成的时候会得到以下报错
- 尝试生成一个
能够正常使用
- 毫无疑问的,被火绒检测到直接清除
免杀
思路:替换特征、修改ico图标、修改版本信息、加壳、签名
- 点击编辑-查找和替换-快速替换
- 替换关键词为任意不相关的词
(大写,小写,文件开头的注释等)
- 将文件名头替换为前面的值(我这里替换的是light)
- 提取其他软件图标,并替换mimikatz目录下的图标
- 做完上述操作后,重新生成.exe
资源替换 + 加壳 + 更改数字签名 免杀操作
上面的操作编译完后依旧会被查杀,这里继续尝试免杀操作(PS:重复了前面的操作后,这边换了个名字,为lighthouse,操作都一样
- 使用工具Resource Hacker替换版本
- 使用工具VMProtect Ultimate进行加壳
- 使用工具sigthief.py进行签名
Github: https://github.com/secretsquirrel/SigThief 用法: python3 sigthief.py -i <提供正常签名的程序> -t <需要签名的程序> -o <完成后输出的文件名>
- 扫描软件,并执行命令
privilege::debug
sekurlsa::logonpasswords
参考文章: 失败mimikatz源码免杀和成功的免杀Windows Defender https://xz.aliyun.com/t/10821#toc-0 语雀 mimikatz免杀的方式 https://www.yuque.com/zirc0n/escbhg/xzs806#9aad730c
相关文章
- 手绘图解java类加载原理
- Java中的线程到底有哪些安全策略
- Java中观察者模式与委托,还在傻傻分不清
- 一图详解java-class类文件原理
- Java遇上SPL:架构优势和开发效率,一个不放过
- 长篇图解java反射机制及其应用场景
- [java并发编程]基于信号量semaphore实现限流器
- java并发编程-StampedLock高性能读写锁
- 【java并发编程】ReentrantLock 可重入读写锁
- 【java并发编程】Lock & Condition 协调同步生产消费
- Java synchronized对象级别与类级别的同步锁
- java并发编程JUC第十二篇:AtomicInteger原子整型
- java并发编程JUC第十一篇:如何在线程之间进行对等数据交换
- java并发编程JUC第十篇:CyclicBarrier线程同步
- java并发编程JUC第九篇:CountDownLatch线程同步
- java并发编程工具类JUC第八篇:ConcurrentHashMap
- java并发编程工具类JUC第七篇:BlockingDeque双端阻塞队列
- java并发编程工具类JUC第六篇:SynchronousQueue同步队列
- java并发编程工具类JUC第五篇:PriorityBlockingQueue优先级队列
- java并发编程工具类JUC第四篇:LinkedBlockingQueue链表队列