Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。
原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。注:一般定位特征码分为三种:定位到代码上,定位到字符串上,定位到输入表上。
准备环境:
https://github.com/gentilkiwi/mimikatz
Microsoft Visual Studio 2012
安装依赖工具
Visual C++ MFC for and64
Desktop development withc++
使用Visual Studio打开测试是否能正常编译,注意:请修改编译环境为X64
第一次进行编译可能会出现问题,解决方法:安装Windows xp c++
报错:error MSB8020,解决方法:项目->属性->常规->平台工作集,将平台改为VS2012 (v110)后即可成功运行编译。
默认编译版本是会被反病毒软件查杀的。以360安全卫士为例
在程序没有运行的情况下,一般都是通过特征码判断的。而且Mimikatz这些知名工具的内容像mimikatz、作者信息之类的字符串就很容易被做为特征码识别。
通用阅读源码大体可以了解存在比较明显的关键字:mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下:
编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写
mimikatz替换为helloworld
MIMIKATZ替换为HELLOWORLD
将mimikatz.xx文件重命名为helloworld.xx(“xx“代表任意后缀)
编辑 mimikatz/mimikatz/helloworld.rc,将一些名称进行修改,还有种类编辑器注释作者名称。
编译以后使用世界杀毒网进行免杀测试
得到结果:扫描结果:10%的杀软(5/49)报告发现病毒
时间: 2020-04-0722:19:22 (CST)
执行效果测试,正常运行且成功读取密码:
本文始发于微信公众号(关注安全技术):Mimikatz源码免杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论