乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
更新时间:2023年12月29日11:06:43
1. 说明
本文仅仅是对mimikatz的静态查杀测试,操作参考了很多文章,并且只能过火绒(截止2023年12月29日11:06:43 ),本文仅做一个简单的记录,并无他意!
2. 环境准备
-
Windows11 -
vs2022
在这里我是安装的vs2022:具体安装的细节在这里就不说了,大家可以自行百度下,方法很多的。
网上找一个激活码:
然后配置好vs之后,退出火绒:
在vs中配置使用c++的桌面开发以及Windows的平台开发:
在单个组件中选择c++(v143)通用Windows平台工具:
在c++桌面开发里面需要配置适用于最新的v143生成工具的c++ MFC:
然后开始安装:
3. 原版源码编译
从github上下载原本的文件:https://github.com/gentilkiwi/mimikatz
将文件夹的名字修改下,不要相同,不然到时候会被标记:
点击mimikatz,右键属性,进行配置:接着在
c/c++的常规中,将错误属性设置为否:
平台工具集如图:
确认应用之后,在下图点击解决方案,然后右键属性:
配置为x64位:
点击重新生成解决方案:
此时已生成:
找到mimikatz,右键以管理员身份运行看下:
目前重新编译的程序可以正常使用了。
4. 源码特征去除
4.1 替换关键字mimikatz
首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:
在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案:
大写:
替换关键字之后,在这里会报错,需要继续进行替换:
将整个项目文件的mimikatz全部进行替换为crowsec关键字:
此时已经替换完成:
在这里可以自行替换掉crowsec.ico文件:
先不要继续替换了,编译下试试看,能否编译成功:
使用正常,测试下免杀,在这里只测试火绒,火绒能过的话,再说wdf,360不需要测试,暂时无意义(不考虑云查杀)。
4.2 mimilove.rc-版本信息修改
该文件主要是版本信息:
删除敏感信息:
删除之后:
将其保存的时候,会有警告信息,先点否:
在空白处新增版本信息:
新增之后,保存,然后点是:
使用解决方案资源管理器,切换到主视图,右键选择:重新生成!
同样的方法,试试能不能用,火绒能不能免杀:
4. 3 mimilove.c-作者信息修改
在mimilove中,找到mimilove.c文件,该文件主要是作者的信息:
在这里先将其中的敏感字替换掉再说。
对上面的两个文件,均将以前的输入注释掉,增加自定义的输出,然后编译运行看下:
此时正常,但是还存在大量的关键字,先删点。按照提示,先进行删除测试。
4.4 关键字gentilkiwi.com替换
替换之后,为了保险起见,编译一下代码,看下会不会报错:
4.5 关键字benjamin修改
然后编译下:
4.6 关键字Benjamin替换
替换为Francer
然后再次生成:
4.7 关键字oe.eo替换
虽然这是注释的,但是我还是想替换掉:
4.8 ico处理
虽然我用的是自己的ico,但是这个ico可能被第三方标记过,所以稍微处理下,只要hash不同就行了,算了,直接notepad++打开,破坏下就行了:
再加载进去编译一下:
能运行,但是还是被杀,意料之中:
现在这种替换简单关键字是无法免杀火绒的,2024年01月04日18:29:36
4.9 关键字creativecommons.org替换
将creativecommons.org替换:
再次编译下看看:
4.10 关键字mimilove替换
把这个关键字修改为american
正常使用,但是依旧被杀:
直接被杀。。。
5. 尝试加壳
在这里尝试加壳,看下能不能过火绒:
5.1 加vmp壳
加壳之后的还是被杀。。。在这之前,火绒是静态查杀的,那就证明他查杀了什么关键字,我们用strings.exe获取看下,到底有哪些关键字是被杀的:
执行之后,有1w多行,根据网上的信息来看,其实火绒抓取的关键字是lsass.exe:https://xz.aliyun.com/t/11378#toc-12 2024年01月04日18:50:45
在这里搜索看下:
感觉这种不行。
5.2 themida壳
。。。
6. 特征定位
6. 1 定位特征码
既然这样的话,就按照网上的方法来定位特征码吧,把这个流程走一遍:本节主要参考:
https://www.t00ls.com/viewthread.php?tid=67457在这使用MYCCL3.0来定位特征码。
首先添加一个信任区,不然都会被火绒杀掉:
在白名单之外的其他位置,建一个fuzz结果的文件夹,在这文件夹里面主要是给 火绒查杀的:
然后打开工具,准备fuzz,把分块数量设置为20到30之间,在这里设置为25,然后点击生成:
对生成的文件进行杀毒:
然后立即处理:
重复这些过程,直到火绒不再报毒为止:
然后点击特征区间:
继续走这个流程,直到没有风险项:
然后二次处理之后,再进行扫描:
此时再回到原来的特征码区间设定,找到第一个,右键,复合定位:
二次处理之后,无风险:
继续此过程:
经过多次循环处理之后,得到了这个结果:
现在来处理下:使用c32asm处理,使用十六进制模式:
使用快捷键来进行跳转(Ctrl+G) 首先跳转到我们第一个特征,把地址粘贴上去,点击确定
0012BE16_00000007
0013B36B_00000006
此时,可以看到这里是第一个特征,明显看到这里有lsass.exe,当然在这还有fopen、fwprintf、fclose,在这里先不去找源码,先把这个78替换为00看下:
直接保存,此时修改之后的还是报毒,那看下第二处:
在这里看到,存在logonui picture password的关键字,修改password的关键字,再试试:
此时已经不报毒了,但是文件不能用了:
应该是刚刚的lsass坏掉了,那就只能从源码里面去修复了。
7. 源码修改
7.1 lsass.exe修改
这个位置除了lsass.exe,还有fopen、fwprintf、fclose,找找看:
再找找这个固定的位置:
那就对其进行修改吧,在这里使用源码免杀辅助工具进行处理:
然后替换原来的句子:
在这里设置为wchar_t的类型,具体参考:
https://www.t00ls.com/viewthread.php?tid=67457此时,直接重新生成解决方案看下效果:
看下能不能用,主要是mimikatz的第二句:
可以使用,目前是正常的,看下能不能免杀:
现在还有一个特征点,来处理下。
7.2 password关键字
logonui picture password的关键字,修改password的关键字,再试试:
太多了,然后筛选:
最后经过综合定位找到了这句话:
dwError = RegOpenKeyEx(HKEY_LOCAL_MACHINE, L"SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword", 0, KEY_ENUMERATE_SUB_KEYS, &hPicturePassword);
现在要对这句话进行处理,感觉是Password这个关键词:
在c语言里面,不需要像python那样使用+进行拼接,所以在这里测试下这种可以不可以,直接保存编译之后发现可以运行使用,但是依旧不免杀:
那就把那个句子再修改下:
这种应该是不起作用的,应该是编译器在编译的时候,直接将其合在一起了,那就使用和上面相似的方法规避下。
编译之后可以用,但是还是被杀,那就再看下特征码问题:
最后定位到了新的位置,转过去看下:
0012C44F_00000002
发现这个还是lsass.exe的问题。。。先修改为00看下有无问题:
虽然不可以用,那就是lsass的问题,那就把这个全部修改掉吧。
7.3 修改所有的lsass.exe
第一处:
然后编译下看看:
可以使用,试下免杀:
还是不要有幻想了,全部修改掉:
删掉
编译运行正常。最后一个文件在mimilove.c里面,在这里其实有一个前面替换之后的错误,修改如下:
再修改一下:
再检查下还有无:
基本上全部注释了,yar文件不用管,用不上,编译一下看看:
此时测试下能不能免杀:
使用正常
艹,怎么还有,再fuzz下看看问题在哪:
找下这个位置:0012C450_00000003
咋又出现了这个值,看下文件里面哪里没有处理干净:
不好意思,修改漏了。。。
看下能不能用:
终于可以过火绒了。。。
8. 火绒免杀总结
-
火绒免杀除了修改特征信息之外,还需要修改所有的
lasss.exe,以及password的关键字,目前查到的信息是这样的。 -
目前该工具可以在
win11,win10,win7上运行,但是win2019上运行会报错,后期会排查:
-
工具过不了 wdf
9. 参考资料
https://github.com/hasherezade/pe_to_shellcode
https://mp.weixin.qq.com/s/BAckIgVzD0-mDN6NN03IjA
https://mp.weixin.qq.com/s/dP2uI85WzRkKAejYI4WLgw
https://mp.weixin.qq.com/s/8THVeIAc_rmUUrhhizZf6w
https://mp.weixin.qq.com/s/s1Cq3pmwKugksaHNwhYlfQ
https://www.t00ls.com/viewthread.php?tid=64179&highlight=mimikatz
https://www.yuque.com/u8021480/crow/ykp6npl5e9mgsd26#qL78r
https://mp.weixin.qq.com/s/yzv6as2U_F84PPzLra_bFg
https://github.com/snnxyss/In-Swortips:加我wx,拉你入群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论