4. 源码特征去除
4.1 替换关键字mimikatz
首先是去除mimikatz
关键字,按照如图所示在文件中替换关键字:
在这里选择将mimikatz
全部替换为crowsec
(大小写要分开),并且查找范围为整个解决方案:
大写:
替换关键字之后,在这里会报错,需要继续进行替换:
将整个项目文件的mimikatz
全部进行替换为crowsec
关键字:
此时已经替换完成:
在这里可以自行替换掉crowsec.ico
文件:
先不要继续替换了,编译下试试看,能否编译成功:
使用正常,测试下免杀,在这里只测试火绒,火绒能过的话,再说wdf
,360
不需要测试,暂时无意义(不考虑云查杀)。
4.2 mimilove.rc-版本信息修改
该文件主要是版本信息:
删除敏感信息:
删除之后:
将其保存的时候,会有警告信息,先点否:
在空白处新增版本信息:
新增之后,保存,然后点是:
使用解决方案资源管理器,切换到主视图,右键选择:重新生成!
同样的方法,试试能不能用,火绒能不能免杀:
4. 3 mimilove.c-作者信息修改
在mimilove
中,找到mimilove.c
文件,该文件主要是作者的信息:
在这里先将其中的敏感字替换掉再说。
对上面的两个文件,均将以前的输入注释掉,增加自定义的输出,然后编译运行看下:
此时正常,但是还存在大量的关键字,先删点。按照提示,先进行删除测试。
4.4 关键字gentilkiwi.com替换
替换之后,为了保险起见,编译一下代码,看下会不会报错:
4.5 关键字benjamin修改
然后编译下:
4.6 关键字Benjamin替换
替换为Francer
然后再次生成:
4.7 关键字oe.eo替换
虽然这是注释的,但是我还是想替换掉:
4.8 ico处理
虽然我用的是自己的ico
,但是这个ico
可能被第三方标记过,所以稍微处理下,只要hash
不同就行了,算了,直接notepad++
打开,破坏下就行了:
再加载进去编译一下:
能运行,但是还是被杀,意料之中:
现在这种替换简单关键字是无法免杀火绒的,2024年01月04日18:29:36
4.9 关键字creativecommons.org替换
将creativecommons.org
替换:
再次编译下看看:
4.10 关键字mimilove替换
把这个关键字修改为american
正常使用,但是依旧被杀:
直接被杀。。。
7. 源码修改
7.1 lsass.exe修改
这个位置除了lsass.exe
,还有fopen
、fwprintf
、fclose
,找找看:
再找找这个固定的位置:
那就对其进行修改吧,在这里使用源码免杀辅助工具进行处理:
然后替换原来的句子:
在这里设置为wchar_t
的类型,具体参考:
此时,直接重新生成解决方案看下效果:
看下能不能用,主要是mimikatz
的第二句:
可以使用,目前是正常的,看下能不能免杀:
现在还有一个特征点,来处理下。
7.2 password关键字
logonui picture password
的关键字,修改password
的关键字,再试试:
太多了,然后筛选:
最后经过综合定位找到了这句话:
dwError = RegOpenKeyEx(HKEY_LOCAL_MACHINE, L"SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword", 0, KEY_ENUMERATE_SUB_KEYS, &hPicturePassword);
现在要对这句话进行处理,感觉是Password
这个关键词:
在c
语言里面,不需要像python
那样使用+
进行拼接,所以在这里测试下这种可以不可以,直接保存编译之后发现可以运行使用,但是依旧不免杀:
那就把那个句子再修改下:
这种应该是不起作用的,应该是编译器在编译的时候,直接将其合在一起了,那就使用和上面相似的方法规避下。
编译之后可以用,但是还是被杀,那就再看下特征码问题:
最后定位到了新的位置,转过去看下:
0012C44F_00000002
发现这个还是lsass.exe
的问题。。。先修改为00
看下有无问题:
虽然不可以用,那就是lsass
的问题,那就把这个全部修改掉吧。
7.3 修改所有的lsass.exe
第一处:
然后编译下看看:
可以使用,试下免杀:
还是不要有幻想了,全部修改掉:
删掉
编译运行正常。最后一个文件在mimilove.c
里面,在这里其实有一个前面替换之后的错误,修改如下:
再修改一下:
再检查下还有无:
基本上全部注释了,yar
文件不用管,用不上,编译一下看看:
此时测试下能不能免杀:
使用正常
艹,怎么还有,再fuzz
下看看问题在哪:
找下这个位置:0012C450_00000003
咋又出现了这个值,看下文件里面哪里没有处理干净:
不好意思,修改漏了。。。
看下能不能用:
终于可以过火绒了。。。
8. 火绒免杀总结
-
火绒免杀除了修改特征信息之外,还需要修改所有的lasss.exe
,以及password
的关键字,目前查到的信息是这样的。
-
目前该工具可以在win11
,win10
,win7
上运行,但是win2019
上运行会报错,后期会排查:
9. 参考资料
https://github.com/hasherezade/pe_to_shellcode
https://mp.weixin.qq.com/s/BAckIgVzD0-mDN6NN03IjA
https://mp.weixin.qq.com/s/dP2uI85WzRkKAejYI4WLgw
https://mp.weixin.qq.com/s/8THVeIAc_rmUUrhhizZf6w
https://mp.weixin.qq.com/s/s1Cq3pmwKugksaHNwhYlfQ
https://www.t00ls.com/viewthread.php?tid=64179&highlight=mimikatz
https://www.yuque.com/u8021480/crow/ykp6npl5e9mgsd26#qL78r
https://mp.weixin.qq.com/s/yzv6as2U_F84PPzLra_bFg
https://github.com/snnxyss/In-Swor
tips:加我wx,拉你入群,一起学习
评论