456主机测评
mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。
原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。注:一般定位特征码分为三种:定位到代码上,定位到字符串上,定位到输入表上。
准备环境:
Microsoft Visual Studio 2012
安装依赖工具
Visual C++ MFC for and64
Desktop development withc++
使用Visual Studio打开测试是否能正常编译,注意:请修改编译环境为X64
通用阅读源码大体可以了解存在比较明显的关键字:mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下:
编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写
mimikatz替换为helloworld
MIMIKATZ替换为HELLOWORLD
将mimikatz.xx文件重命名为helloworld.xx(“xx“代表任意后缀)
编辑 mimikatz/mimikatz/helloworld.rc,将一些名称进行修改,还有种类编辑器注释作者名称。
编译以后使用世界杀毒网进行免杀测试
- 海报
