mimikatz行为免杀_易语言远程源码

mimikatz行为免杀_易语言远程源码目录介绍环境准备处理报错生成32位生成64位下载360、360杀毒直接查杀关键字替换-失败去除注释,修改版本信息删除注释信息替换图标修改版本信息重新编译文件过杀软360家族腾讯电脑管家火绒在线查杀参考学习一下月师傅的文章介绍Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

学习一下月师傅的文章

介绍

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。

原理:源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进行修改就可以达到免杀效果。

注:一般定位特征码分为三种:

  1. 定位到代码上
  2. 定位到字符串上
  3. 定位到输入表上

环境准备

一台全新的win2012

  1. mimikatz https://github.com/gentilkiwi/mimikatz
  2. Microsoft Visual Studio 2012 http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso

Visual Studio 2012旗舰版序列号:
YKCW6-BPFPF-BT8C9-7DCTH-QXGWC
RBCXF-CVBGR-382MK-DFHJ4-C69G8

  1. 使用vs打开文件

在这里插入图片描述

  1. 试着编译文件,报了错,提示“Platform Toolset = ‘v110_xp’”

在这里插入图片描述

处理报错

  1. 修改平台工具集

在这里插入图片描述

  1. 修改为“否”

在这里插入图片描述

  1. 保存设置

生成32位

  1. 对着mimikatz鼠标右键选择“生成”

在这里插入图片描述

  1. 新生成一个文件夹“Win32”,里面出现一个exe文件

在这里插入图片描述

生成64位

  1. 修改解决方案

在这里插入图片描述

  1. 对着mimikatz鼠标右键选择“生成”

在这里插入图片描述

  1. 新生成一个文件夹“x64”,里面出现一个exe文件

在这里插入图片描述

下载360、360杀毒

在这里插入图片描述

在这里插入图片描述

直接查杀

把“环境准备”中生成的32位mimikatz使用杀软扫描,通过。
在这里插入图片描述

双击运行,直接被查杀
在这里插入图片描述

64位的mimikatz跟32位的情况一样。扫描通过,一旦运行直接被杀

关键字替换-失败

把关键字“mimikatz”全部替换为“lainwith”,看看免杀效果怎样。

  1. 查找替换

在这里插入图片描述

在这里插入图片描述

  1. 对以下内容修改名称

总共是对如下5处进行更改:先对mimikatz项目下的4处进行更改,之后对mimikatz项目名称进行更改
在这里插入图片描述

  1. 重新生成文件

一旦运行,立即被查杀
在这里插入图片描述

去除注释,修改版本信息

删除注释信息

在这里插入图片描述

替换图标

  1. 找到图标位置

在这里插入图片描述

  1. 用新图标替换掉它

修改版本信息

双击“mimidrv”目录下的“mimidrv.rc”文件,就可以看到版本信息了。直接在“资源视图”中是看不到的,需要双击“mimidrv.rc”才能进来。

  1. “CompanyName”中包含了“kiwi”关键字,删除它

在这里插入图片描述

删除之后
在这里插入图片描述

  1. 新建版本信息

在这里插入图片描述

新建之后
在这里插入图片描述

重新编译文件

在这里插入图片描述

过杀软

再克隆出2台全新的win2012,分别安装腾讯电脑管家和火绒

360家族

图标的显示有点问题,运行图标与桌面图标不一致,但是软件成功运行了,并且360和360杀毒没反应。
在这里插入图片描述

又过了短暂几秒之后,被杀了
在这里插入图片描述

之后再尝试把文件丢到win2012,被拒绝
在这里插入图片描述

腾讯电脑管家

在这里插入图片描述

火绒

刚复制到虚拟机上,就被杀了
在这里插入图片描述

在线查杀

在这里插入图片描述

在这里插入图片描述

参考

Mimikatz源码免杀

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/171514.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号