mimikatz行为免杀_易语言远程源码

mimikatz行为免杀_易语言远程源码目录介绍环境准备处理报错生成32位生成64位下载360、360杀毒直接查杀关键字替换-失败去除注释,修改版本信息删除注释信息替换图标修改版本信息重新编译文件过杀软360家族腾讯电脑管家火绒在线查杀参考学习一下月师傅的文章介绍Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

学习一下月师傅的文章

介绍

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。

原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。

注:一般定位特征码分为三种:

  1. 定位到代码上
  2. 定位到字符串上
  3. 定位到输入表上

环境准备

一台全新的win2012

  1. mimikatz https://github.com/gentilkiwi/mimikatz
  2. Microsoft Visual Studio 2012 http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso

Visual Studio 2012旗舰版序列号:
YKCW6-BPFPF-BT8C9-7DCTH-QXGWC
RBCXF-CVBGR-382MK-DFHJ4-C69G8

  1. 使用vs打开文件

在这里插入图片描述

  1. 试着编译文件,报了错,提示“Platform Toolset = ‘v110_xp’”

在这里插入图片描述

处理报错

  1. 修改平台工具集

在这里插入图片描述

  1. 修改为“否”

在这里插入图片描述

  1. 保存设置

生成32位

  1. 对着mimikatz鼠标右键选择“生成”

在这里插入图片描述

  1. 新生成一个文件夹“Win32”,里面出现一个exe文件

在这里插入图片描述

生成64位

  1. 修改解决方案

在这里插入图片描述

  1. 对着mimikatz鼠标右键选择“生成”

在这里插入图片描述

  1. 新生成一个文件夹“x64”,里面出现一个exe文件

在这里插入图片描述

下载360、360杀毒

在这里插入图片描述

在这里插入图片描述

直接查杀

把“环境准备”中生成的32位mimikatz使用杀软扫描,通过。
在这里插入图片描述

双击运行,直接被查杀
在这里插入图片描述

64位的mimikatz跟32位的情况一样。扫描通过,一旦运行直接被杀

关键字替换-失败

把关键字“mimikatz”全部替换为“lainwith”,看看免杀效果怎样。

  1. 查找替换

在这里插入图片描述

在这里插入图片描述

  1. 对以下内容修改名称

总共是对如下5处进行更改:先对mimikatz项目下的4处进行更改,之后对mimikatz项目名称进行更改
在这里插入图片描述

  1. 重新生成文件

一旦运行,立即被查杀
在这里插入图片描述

去除注释,修改版本信息

删除注释信息

在这里插入图片描述

替换图标

  1. 找到图标位置

在这里插入图片描述

  1. 用新图标替换掉它

修改版本信息

双击“mimidrv”目录下的“mimidrv.rc”文件,就可以看到版本信息了。直接在“资源视图”中是看不到的,需要双击“mimidrv.rc”才能进来。

  1. “CompanyName”中包含了“kiwi”关键字,删除它

在这里插入图片描述

删除之后
在这里插入图片描述

  1. 新建版本信息

在这里插入图片描述

新建之后
在这里插入图片描述

重新编译文件

在这里插入图片描述

过杀软

再克隆出2台全新的win2012,分别安装腾讯电脑管家和火绒

360家族

图标的显示有点问题,运行图标与桌面图标不一致,但是软件成功运行了,并且360和360杀毒没反应。
在这里插入图片描述

又过了短暂几秒之后,被杀了
在这里插入图片描述

之后再尝试把文件丢到win2012,被拒绝
在这里插入图片描述

腾讯电脑管家

在这里插入图片描述

火绒

刚复制到虚拟机上,就被杀了
在这里插入图片描述

在线查杀

在这里插入图片描述

在这里插入图片描述

参考

Mimikatz源码免杀

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/171514.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 企业竞争分析的几种方法:SWOT、波特五力、PEST「建议收藏」

    企业竞争分析的几种方法:SWOT、波特五力、PEST「建议收藏」最近实验室要申报一个互联网+的项目,项目中有关企业经营部分的内容着实令我们这些工科生无从下手,在咨询了某专业相关的学妹后稍微有了点头绪(此处手动感谢学妹的协助哈哈哈~),这里就把学到的有关竞争分析的方法总结一下~目录1、波特五力分析模型2、SWOT分析法3、PEST分析法1、波特五力分析模型波特五力分析模型是迈克尔·波特(MichaelPorter)与20世纪80年代提出的一种用于竞争战略的分析模型。顾名思义就是波特提出一个行业中的竞争,不只是在原有竞争对手中进行,而是存.

  • java输入与输出的格式已经一些知识点[通俗易懂]

    java输入与输出的格式已经一些知识点[通俗易懂]每个语句的首字母都要大写,每个语句写完以后要打分号;写单词时不需要写完,写几个字母再按alt+/ 可以出现单词供你选择;输出语句:System.out.println(“”);用户输入(编译完成后在Console里面输入):Scannerin=newScanner(System.in);in.nextInt():用户输入的整数型。变量:和C语言一样需要

  • pycharm导入第三方库安装包时出错_pycharm安装不了第三方库

    pycharm导入第三方库安装包时出错_pycharm安装不了第三方库PycharmAvailablePackage无法显示包的问题解决使用Pycharm的时候需要导入解释器然后安装一些第三方库,讲道理都是projectInterpreter里面直接install的。但是打开之后发现无法显示列表,也无法下载。ErrorLoadingPackageList报错Errorloadingpackagelist:connecttimedout…

  • h3c路由器配置命令_h3c路由器命令大全

    h3c路由器配置命令_h3c路由器命令大全en进入特权模式conf进入全局配置模式ins0进入serial0端口配置ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx添加ip地址和掩码,电信分配encahdlc/ppp捆绑链路协议hdlc或者pppipunne0exit回到全局配置模式ine0进入以太接口配置ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx…

    2022年10月18日
  • Python线程指南[通俗易懂]

    Python线程指南[通俗易懂]本文介绍了Python对于线程的支持,包括“学会”多线程编程需要掌握的基础以及Python两个线程标准库的完整介绍及使用示例。注意:本文基于Python2.4完成;如果看到不明白的词汇请记得百度谷

  • vue生命周期函数_vue生命周期函数有哪些

    vue生命周期函数_vue生命周期函数有哪些生命周期函数生命周期函数代表的是Vue实例,或者是Vue组件,在网页中各个生命阶段所执行的函数。生命周期函数可以分为创建阶段和运行期间以及销毁期间。其中创建期间的函数有beforeCreate、c

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号