600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

  • A+
所属分类:安全文章

1.Mimikatz源码下载

首先在github下载mimikatz源码
https://github.com/gentilkiwi/mimikatz
使用vs2017打开工程
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

2.替换mimikatz字符串

在程序没有运行的情况下,一般都是通过特征码判断的。而且Mimikatz这些知名工具的内容像mimikatz、作者信息之类的字符串就很容易被做为特征码识别。
通用阅读源码大体可以了解存在比较明显的关键字:mimikatzMIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下:
编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写
mimikatz替换为wooyun
MIMIKATZ替换为WOOYUN
mimikatz.xx文件重命名为wooyun.xx(“xx“代表任意后缀)
编辑 mimikatz/mimikatz/wooyun.rc,将一些名称进行修改,还有种类编辑器注释作者名称。

按ctrl+shift+f替换所有文件中的mimikatz字符串

600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

3.解决方案配置

首先勾选release
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结然后右键mimikatz项目属性,在常规中MFC的使用中选择在静态库使用MFC
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结在c/c++中运行库选择多线程(/MT)
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

4.解决报错

点击生成会发现两处报错都是找不到wooyun.h
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结双击这一行,会来到报错代码处
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结将wooyun重新改为mimikatz
还有一处一样操作
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结重新生成,依然是找不到文件错误
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结将wooyun.ico改为mimikatz.ico,重新生成
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

5.删除默认的静态资源

使用360查杀发现已经免杀
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结
但是发现打开mimikatz时会被360动态拦截
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结使用Restorator 2018编辑静态资源
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结删除图标和界面风格
打开mimikatz发现已经绕过动态查杀
600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

原创作者:cwkiller

文章来源:www.cnblogs.com/cwkiller

如有侵权,请联系删除

600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结


600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

渗透测试干货 | 横向渗透的常见方法



欢迎关注LemonSec


觉得不错点个“赞”、“在看”哦600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结


本文始发于微信公众号(LemonSec):600 条最强 Lin干货 | 源码免杀之Mimikatzux 命令总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: