大家好，今天我将展示如何混淆 Mimikatz 下载器以绕过 Defender 检测。

我将使用安装了 Visual Studio 和 python 的虚拟机，我还有 Documents 文件夹作为 Windows Defender 中的一个例外，我们可以在没有 Defender 打扰的情况下工作。

确保转到 Windows 安全中心并禁用示例提交！这样我们就可以确保我们不会过快地消耗自己的工作技术。此外，请避免上传到 VirusTotal。

我们将对 BetterSafetyKatz 进行混淆。

https://github.com/Flangvik/BetterSafetyKatz 

BetterSafetyKatz 的工作方式是直接从 gentilkiwi GitHub 存储库获取 Mimikatz 的最新预编译版本，对检测到的签名进行运行时修补，并使用 SharpSploit DInvoke 将其放入内存。您还可以将链接或路径作为参数传递给可执行文件，它将尝试从那里获取 Mimkatz zip 存档。

我将下载 BetterSafetyKatz 并从 zip 文件中提取项目。

现在，为了进行一些初始混淆，我将使用 InvisibilityCloack

https://github.com/h4wkst3r/InvisibilityCloak 

 这是一个 python 脚本，将对 C# Visual Studio 项目进行修改。它将更改文件上的项目名称，然后根据我们给它的方法对字符串进行混淆。

我将 BetterSafetyKatz 文件夹作为 -d 的参数，然后我将项目名称更改为带有 -n 参数的 DarkMagician，最后指定我要使用 -m reverse 反转所有字符串。

现在我们应该看到我们的项目文件被重命名。

我们将在 Visual Studio 中打开它，然后将其编译为 Release

它应该编译成功，没有错误，我们可以运行该程序以确保它正常工作。

完善！现在让我们尝试看看 Defender 是否仍然检测到它，如果是，那么找出我们可能需要更改的代码部分。

为此，我们将使用 DefenderCheck

https://github.com/matterpreter/DefenderCheck 

DefenderCheck 将自动将可执行文件拆分为多个部分，以确定文件的哪些部分正在触发 Defender。

要使用 DefenderCheck，我们需要从我们在 Defender 中作为例外添加的文件夹运行它，然后禁用实时监控。

它显示 Defender 仍将可执行文件检测为恶意可执行文件。现在让我们看看输出，看看是什么原因导致它检测到它。

输出似乎显示了一些变量和函数名称，最突出的是“SharpSploit”，这是 BetterSafetyKatz 使用的 .NET 后开发库，这可能是触发 Defender 的原因。我将使用 VisualStudio 中的 Replace in files（在文件中替换）选项，将单词 SharpSploit 的每个实例替换为其他内容。

我们再次编译代码并确保它仍然有效。

现在，我将再次运行 DefenderCheck。

如果它给我们一个不同的结果，那就是一个好兆头，我们改变了它检测到的东西。现在我们看到不同的函数和变量名称。既然我经常看到 Token 这个词，为什么不尝试替换它呢？

我再次编译，确保它正常工作，然后再次运行 DefenderCheck。

即使我们可以看到单词 Token 已更改，我们也会再次获得类似的结果。有时，触发检测的是 DefenderCheck 输出的最后一行。我将替换 “Utilities” 一词。

然后再次编译，确保它仍然有效，然后再次运行 DefenderCheck。

我们得到了不同的结果，我将再次将赌注押在最后一行上，并替换 “Helpers” 一词

然后编译，确保它正常工作并再次运行 DefenderCheck。

我们得到的结果不同，这里有多个候选人，所以我要做的是替换他们中的许多人。

我将替换 “MiniDump”、“NtRead” 和 “NtWrite”。

我们再次编译，确保它正常工作，然后再次运行 DefenderCheck。

这一次，它似乎检测到了其中一个反向字符串。

我只删除那一行，因为我们实际上并不需要它，因为它所做的只是将消息打印到控制台。

让我们再次编译并运行 DefenderCheck，这次它没有找到威胁！

现在，我将再次启用 Real Time Monitoring，将文件复制到 Program Files 并运行它。我们可以看到它在不触发 Defender 的情况下也能完美运行！

为什么我将其移至 Program Files？经过大量实验，我意识到如果我们将 Defender 行为检测放在用户的文件夹中，它会被触发并吃掉我们的可执行文件，但是如果我把它放在 Program Files 中，它不会触发 Defender 行为检测。我确保我没有将 Program Files 添加为排除项，还测试了将非混淆恶意软件放入 Program Files 中，发现 Defender 立即吃掉了它们。由于 Mimikatz 是我们理想情况下以管理员权限运行的东西，因此我们可以将其放在 Program Files 中以避免触发行为检测。

最后一点，如果几周甚至几天后这不再有效，请不要感到惊讶。更多地将本文用作混淆工具的起点，并研究更多进一步混淆它们的方法，例如，您可以尝试其他适用于 C# 的混淆工具！

其它课程

linux恶意软件开发对抗与基于ebpf网络安全视频教程

QT开发底层原理与安全逆向视频教程(2024最新)

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

linux高级usb安全开发与源码分析视频教程

linux程序设计与安全开发

• windows恶意软件开发与对抗视频教程

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 

• 更多详细内容添加作者微信

原文始发于微信公众号（安全狗的自我修养）：混淆 Mimikatz 下载器以逃避 Defender （2024）