mimikatz简易过静态查杀
静态 简易 查杀 mimikatz
2023-06-13 09:16:25 时间
前言
忘了几时搞的了,过过静态没什么问题,实战运行差不多四五分钟就被联网查了,没什么用,也没技术含量,文章也是那个时候写完存在本地的,现在隐约感觉哪里有逻辑错误,但是我也懒得改了,给我凑篇水文而已(
Mimikatz Github:https://github.com/gentilkiwi/mimikatz
环境安装
- 在vs2019中安装所需要的组件
- 在github中下载源码,并导入vs2019中。
导入.sln解决方案,其中mimikatz是我们需要的工具
- 前往属性页,修改配置属性
这里需要将“将警告视为错误”修改为 否
不然你生成的时候会得到以下报错
- 尝试生成一个
能够正常使用
- 毫无疑问的,被火绒检测到直接清除
免杀
思路:替换特征、修改ico图标、修改版本信息、加壳、签名
- 点击编辑-查找和替换-快速替换
- 替换关键词为任意不相关的词
(大写,小写,文件开头的注释等)
- 将文件名头替换为前面的值(我这里替换的是light)
- 提取其他软件图标,并替换mimikatz目录下的图标
- 做完上述操作后,重新生成.exe
资源替换 + 加壳 + 更改数字签名 免杀操作
上面的操作编译完后依旧会被查杀,这里继续尝试免杀操作(PS:重复了前面的操作后,这边换了个名字,为lighthouse,操作都一样
- 使用工具Resource Hacker替换版本
- 使用工具VMProtect Ultimate进行加壳
- 使用工具sigthief.py进行签名
Github: https://github.com/secretsquirrel/SigThief 用法: python3 sigthief.py -i <提供正常签名的程序> -t <需要签名的程序> -o <完成后输出的文件名>
- 扫描软件,并执行命令
privilege::debug
sekurlsa::logonpasswords
参考文章: 失败mimikatz源码免杀和成功的免杀Windows Defender https://xz.aliyun.com/t/10821#toc-0 语雀 mimikatz免杀的方式 https://www.yuque.com/zirc0n/escbhg/xzs806#9aad730c
相关文章
- IDA Pro:静态反汇编工具
- 面试官问:静态变量、实例变量在JVM内存区域是怎么布局的?线程安全吗?
- 苹果cms利用定时任务生成静态执行操作
- 【计算机网络】网络层 : 路由算法 ( 路由算法分类 | 静态路由算法 | 动态路由算法 | 全局性动态路由算法 | 分散性动态路由算法 | 分层次路由选择协议 )
- JERRY Hexo & GitHub 静态网站搭建说明
- Redis和MemCache静态Map做缓存区别详解数据库
- Linux调用C静态库的简易方法(linux调用c静态库)
- 静态Linux:安全与健壮体系的完美结合(staticlinux)
- asp的程序能实现伪静态化的方法
- ASP.NETURL伪静态重写实现方法
- js静态动态成员and信息的封装和隐藏
- 基于php伪静态的实现详细介绍