大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
目录
学习一下月师傅的文章
介绍
Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。
原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。
注:一般定位特征码分为三种:
- 定位到代码上
- 定位到字符串上
- 定位到输入表上
环境准备
一台全新的win2012
- mimikatz https://github.com/gentilkiwi/mimikatz
- Microsoft Visual Studio 2012 http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso
Visual Studio 2012旗舰版序列号:
YKCW6-BPFPF-BT8C9-7DCTH-QXGWC
RBCXF-CVBGR-382MK-DFHJ4-C69G8
- 使用vs打开文件
- 试着编译文件,报了错,提示“Platform Toolset = ‘v110_xp’”
处理报错
- 修改平台工具集
- 修改为“否”
- 保存设置
生成32位
- 对着mimikatz鼠标右键选择“生成”
- 新生成一个文件夹“Win32”,里面出现一个exe文件
生成64位
- 修改解决方案
- 对着mimikatz鼠标右键选择“生成”
- 新生成一个文件夹“x64”,里面出现一个exe文件
下载360、360杀毒
直接查杀
把“环境准备”中生成的32位mimikatz使用杀软扫描,通过。
双击运行,直接被查杀
64位的mimikatz跟32位的情况一样。扫描通过,一旦运行直接被杀
关键字替换-失败
把关键字“mimikatz”全部替换为“lainwith”,看看免杀效果怎样。
- 查找替换
- 对以下内容修改名称
总共是对如下5处进行更改:先对mimikatz项目下的4处进行更改,之后对mimikatz项目名称进行更改
- 重新生成文件
一旦运行,立即被查杀
去除注释,修改版本信息
删除注释信息
替换图标
- 找到图标位置
- 用新图标替换掉它
修改版本信息
双击“mimidrv”目录下的“mimidrv.rc”文件,就可以看到版本信息了。直接在“资源视图”中是看不到的,需要双击“mimidrv.rc”才能进来。
- “CompanyName”中包含了“kiwi”关键字,删除它
删除之后
- 新建版本信息
新建之后
重新编译文件
过杀软
再克隆出2台全新的win2012,分别安装腾讯电脑管家和火绒
360家族
图标的显示有点问题,运行图标与桌面图标不一致,但是软件成功运行了,并且360和360杀毒没反应。
又过了短暂几秒之后,被杀了
之后再尝试把文件丢到win2012,被拒绝
腾讯电脑管家
火绒
刚复制到虚拟机上,就被杀了
在线查杀
参考
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/171514.html原文链接:https://javaforall.net
