mimikatz

mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查杀的几率极高。

1、免杀方式

对mimikatz我们进行源码免杀。源码免杀只需要定位源码中的特征代码进行修改就可以达到预期的免杀效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。

2、免杀处理

我们访问https://github.com/gentilkiwi/mimikatz 下载源码
我们用vs2012打开源码进行免杀处理

编译源码,这里注意编译源码可能会报错(V110),我们需要去要编译对象的属性里

该成这样,再选择C/C++

改成这样,我们这里需要生成一个x64的执行文件,所以去改一下

解决方案属性将mimikatz改为x64,生成exe

成功
我们点击执行一下

可以看到此时360是对mimikatz查杀的
我们使用第一种发放,将项目内的所有的mimikatz字符替换,点击编辑、查找替换、在文件中查找,

全部替换

我们看到此时代码中的mimikatz已经被全部替换为test,还不够,我们还要将我们的文件名全改为test

我们重新生成一下
生成之后执行

还是查杀。再次细致一点,我们把mimikatz项目文件内的注册信息全部删除掉,版本信息删掉

这个删除掉,点击test.rc:


把版本信息删除,可以在把图标改了(写的时候虚拟机宕机了,擦)

新生成的新图标mimikatz执行成功了(这里又加了一步,把生成的exe的ico换掉了),这样是免杀的,但是可能就持续几分钟吧,360就杀掉了。这个也是无法通过火绒的。我们用上节课说到的掩日3.0工具,将mimikatz.exe拖入客户端等待10秒就OK。可以过火绒,但是过不了360

我们可以看到火绒是过了的

3、总结

其实像mimikatz这种人见人打的工具做免杀还是很辛苦的,做的几个免杀exe其实几分钟之后就被杀掉了,但是这也是一种方式,我们可以再有限的时间内拿到目标机器的密码或者NTLM密文。360还是挺强的。

mimikatz免杀过360和火绒相关推荐

  1. 红队培训班作业 | 免杀过360和火绒 四种方法大对比

    文章来源|MS08067 红队培训班第12节课作业 本文作者:汤浩荡(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 环境准备: Kali linux安装cs4.2,Windows7系统安装 ...

  2. Invoke-Obfuscation混淆免杀过360和火绒

    微信公众号:乌鸦安全 扫取二维码获取更多信息! 更新时间:2021-05-31 Invoke-Obfuscation下载地址:https://github.com/danielbohannon/Inv ...

  3. MSF(3)——apk和exe的加马(过360、火绒)

    本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 文章目录 前文链接 工具地址 shielden 520apkhook exe 加马 shellter附加 安装 软件准备 添加后门 杀软测试 加 ...

  4. 论中国的软件,360和火绒那个更流氓

    一起本人一直用360安全卫士,一直觉得360就是中国最大的流氓软件.没有质疑的那种.后来发现搜狗输入法,百度管家,腾讯的那个管家.金山.都是特么的流氓.下载一个,出现一家全家桶,就不就是我和你相亲,请 ...

  5. Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...

    Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...

  6. 【Windows】Shellcode免杀,过360、火绒、Defender 静态及主防

    Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段S ...

  7. Shellcode免杀,过360、火绒、windows-Defender

    shellcode简介 Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代 ...

  8. 2023最新使用python进行shellcode免杀过360火绒 ,反虚拟机

    本源码仅供学习交流,不得用于违法范围,本源码已放到QQ交流群 群文件中QQ群:798134185 反虚拟机方案根据虚拟机系统文件 cpu核心数  开机启动时间  c盘大小判断 生成c语言的payloa ...

  9. 实用cs、mimikatz免杀virscan

      目录 免杀准备工具: 一.免杀mimikatz 二.免杀CS web安全学习了解:web渗透测试 官网:宣紫科技 免杀准备工具: Restorator SigThief VMProtect壳 一. ...

最新文章

  1. 工具类用得好,下班下的早
  2. Java 中textarea 换行,textarea 中的换行符
  3. 电脑如何进入bios模式_如何进入BIOS设置U盘启动盘
  4. win8信息服务器不可用怎么办,win8系统下开机提示OneDrive选项此服务现在不可用请稍后再试怎么办...
  5. How to install and configure vsftpd
  6. java1.8下载安装教程
  7. RS232RS485协议原理和应用
  8. 今日头条定位融资商业计划书
  9. 实体书店不断萎缩 路在何方?
  10. 【论文阅读】UntrimmedNets for Weakly Supervised Action Recognition and Detection
  11. 通过youtube上传视频赚钱并免费宣传你的业务
  12. 腾讯焦虑了,一向温文尔雅的马化腾也发脾气了
  13. 后端提示无法加载响应数据可能原因
  14. 【Python特性】Python中的下划线和双下划线是什么意思?
  15. 全国大学生数学建模竞赛2012A题葡萄酒的评价MATLAB程序
  16. 刨根问底Objective-C Runtime(1)- Self Super
  17. 服务器不正常断电关机导致sqlserver被标记为“可疑”
  18. 胖哈勃 web--NewSql Mysql 8 注入
  19. CS224W-图神经网络 笔记4.1:Community Structure in Networks - 网络中社区的特性
  20. C语言小项目——计时器(倒计时+报警提示)

热门文章

  1. 小米手环无法模拟门卡_小米手环3门禁卡设置方法 居然可以模拟门禁卡
  2. js判断时间是否为早上,中午,下午,晚上
  3. 16. 设计模式之契约原则:如何做好 API 接口设计?
  4. 服务器里面文档怎么改编码格式,linux 设置服务器编码格式
  5. 基于Android的便签设计(二)
  6. 仿抖音底部菜单响应式html代码十分酷炫
  7. 微生物组学与植物病害微生物防治
  8. scratch做出按键控制屏幕滚动效果
  9. 5G物联网发展趋势下移动物联网卡面临的4大挑战难点
  10. 我的一些杭电计算机考研资料