微信公众号：乌鸦安全

扫取二维码获取更多信息！

说明

本文周一的时候，工具就已经上传GitHub了，所以工具应该是已经失效了！！！仅供参考！

本文mimikatz源码编译未能免杀Windows Defender，后面使用的是其他的方式，思路和源代码暂不公开，希望师傅们能够理解！

2. 免杀结论

2.1 二次编译失败

1.二次编译免杀火绒失败，秒杀！

2.二次编译后，联网360全家桶环境下，有效期大概2分钟左右，后360联网上传样本后失效。3.Windows Defender免杀更不用想，秒杀！

2.2 其他方法成功

免杀火绒成功 免杀Windows Defender（关闭自动上传可疑样本）成功 360不进行测试，联网无意义！

相关免杀文件可在我的GitHub进行下载：

https://github.com/crow821/crowsec/tree/master/Bypass_mimikatz

欢迎多多star！

如果师傅在GitHub下载不方便的话，可以直接在公众号后台回复：猕猴桃下载！

3. 说明

机器1：Windows10 编辑环境：vs2012 杀软：360安全卫士联网最新版（带安全大脑，会自动上传样本）

机器2：Windows7 杀软：火绒联网最新版

机器3：Windows10 杀软：360杀毒联网最新版（会自动上传样本）

机器4：Windows10 杀软：Windows Defender（关闭自动上传样本）

本文原本想学习下二次编译mimikatz免杀360和火绒，但是经过多次折腾之后发现，火绒依旧对其秒杀，360杀毒和360安全卫士联网（带安全大脑）只能算免杀1分钟，Windows Defender断网都能秒杀！其实过火绒和360有很多方法，不过在这只是为了学习（无脑修改）编译源码。本文按照一个去特征的思路，慢慢的做，一点点的分析（坑自己）。

其实在本文中，mimikatz源码去特征免杀难度排序的话，应该是：

Windows Defender（天下无敌） > 火绒(联网不联网都一样) > 360安全卫士(联网版，会自动上传样本) = 360杀毒（联网版，会自动上传样本）> 360安全卫士（不上传样本） >= 360杀毒 （不上传样本）

以上仅仅针对本文接下来的操作而已，其实实战中，火绒在一定程度上更容易过。

4. mimikatz源码编译

从https://github.com/gentilkiwi/mimikatz直接将源代码下载下来：

将文件解压之后，使用vs2012打开：

打开之后，可以看到当前存在报错信息：

在这里右键选择重新生成解决方案：

点击之后配置环境：

在当前环境中，选择平台工具集->选择visual Studio 2012（v110），然后应用。接着在c/c++的常规中，将错误属性设置为否。

在解决方案中，点击属性：

在配置属性中选择x64位：

直接应用，在解决方案处，右键-->重新生成解决方案：

在这里需要一些时间会编译成功(在这里很多人都是生成成功1个，失败0个，不过都是正常)

直接去文件夹下看文件：

在这里关闭所有防护，看下工具好不好用：最常用的命令：

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

选择以管理员身份运行：

能过获得hash信息，证明编译有效。

5. mimikatz正常编译免杀效果

当前编译之后的mimikatz在火绒和360、windows Defender环境下测试：

5.1 360

360右键联网查杀的时候，当即没有查出来，但是直接将样本进行上传，而且当右键运行mimikatz的时候，直接弹出警告信息：

再次双击运行的时候，直接报毒！

5.2 火绒

复制进去之后，秒杀！

5.3 360杀毒

5.4 windows Defender

在这里压根不用测试windows Defender，会被杀的更快：

因为本文使用的方法无法bypass windows Defender和360安全卫士联网版（自动上传样本），所以本文下面的编译部分不会对windows Defender再进行测试，但是会选择性测试360安全卫士联网版（自动上传样本）。

6. mimikatz源码去特征

6.1 替换关键字mimikatz

首先是去除mimikatz关键字，按照如图所示在文件中替换关键字：

在这里选择将mimikatz全部替换为crowsec(大小写要分开)，并且查找范围为整个解决方案：

大写：

替换关键字之后，在这里会报错，需要继续进行替换：

将整个项目文件的mimikatz全部进行替换为crowsec关键字：

此时已经替换完成：

先不要继续替换了，编译下试试看，能否编译成功：

成功以后，测试下功能：

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

使用正常，测试下免杀能力：

6.1.1 火绒

直接被秒

6.1.2 360杀毒(会自动上传样本)

6.2 mimilove.rc版本信息

该文件主要是版本信息：

删除敏感信息：

删除之后：

在空白处右键新增版本信息：

新增之后的信息：

直接保存，然后使用解决方案资源管理器，切换到主视图：

在这里右键选择：重新生成！！！

等待编译后看看文件夹：

同样的方法，试试能不能用，火绒能不能免杀：

6.2.1 火绒

6.2.2 360杀毒（会自动上传样本）

静态扫描无毒，打开提示病毒！

6.3 替换ico文件

如下图右键打开文件资源管理器：

很多时候，杀软对图标（hash）比较敏感，所以在这里进行替换ico，自己制作ico的网站：http://www.bitbug.net

做的时候，记得是32*32大小。

将新的图标进行替换：

直接编译：

得到文件（在这里因为缓存问题，小图标没有及时更新）

老问题，看看能不能用，看看能不能免杀

6.3.1 火绒

6.3.2 360杀毒（会自动上传样本）

扫描到肯定是无毒的，打开可以用，在这看到扫描的时间是22:28:42，趁着这个时间赶紧执行下，执行成功。

在这里发现了病毒，查阅日志发现，大概2分钟之后开始报毒！

6.4 mimilove.c

在mimilove中，找到mimilove.c文件，该文件主要是作者的信息：

6.5 关键字creativecommons.org替换

将creativecommons.org替换为baidu.com

再次编译下看看(编译时间较长)

编译成功，继续测试。

6.5.1 火绒

6.5.2 360杀毒（联网版）

等一段时间再看下：

大概1分钟之后，报毒！

6.6关键字gentilkiwi.com替换

继续去除信息：将gentilkiwi.com替换为google.com

再次编译下：

还是被杀：

6.6.1 火绒

6.6.2 360杀毒（联网版）

执行命令之后，大概2分钟左右，被杀！

6.7 关键字benjamin替换

将benjamin关键字使用同样的方法替换为crowsec

编译下再试试：

在这里不区分大小写的情况下再试试：

6.7 关键字gentilkiwi替换

将gentilkiwi不区分大小写的替换为crowkiwi

编译成功：

6.9 删除mimilove

还是被杀。。。。但是不清楚什么时候开始，360已经过了。。。

同样，一段时间后：

7. 总结

在这里可以看到：无论是如何去特征后编译，都无法正常免杀火绒。（当然，一定要细究的话，也是可以的，但是难度很高，费事！） 360一般在本地不会主动查杀，其查杀靠的是其联网上传样本之后，因为云端查杀需要时间，所以在这之间有一段时间，可以运行木马执行命令。 Windows Defender更不用考虑，所以依靠源代码二次编译免杀的难度很高，可以采用其他的方式进行免杀(暂不提供详情)，在这里放bypass成功之后的图，在这里没有放360，毕竟上传样本伤不起！

其实到这里之后，再进行免杀研究的话，难度就会低一些了，师傅们见谅，这种方法只提供工具，暂时不能提供方法哈！

7.1 bypass 火绒

7.2 Windows Defender （不自动上传样本）

免杀脚本在Github上可以找到：

https://github.com/crow821/crowsec

艰难的mimikatz源码编译免杀 Windows Defender相关推荐

gh0st3.6源码编译+++免杀教程
这里有4个教程可以去看看 gh0st3.6编译教程 http://www.3800hk.com/donghua/f/24166.html vc++6.0对gh0st驱动免杀教程.rar htt ...
老树开新花之shellcode_launcher免杀Windows Defender
微信公众号:乌鸦安全扫取二维码获取更多信息! 免杀效果静态免杀动态免杀效果(指的是可执行命令) 1. 准备条件本文中的免杀方式在我写完文章之后,免杀基本已经失效,毕竟是见光死,所以仅供各位师傅 ...
可视化工具VisIt源码编译教程（Windows，图文讲解）
我新建了一个VisIt软件的交流qq群:1169585995,欢迎大家加入一起交流,一起学习! 所用软件及其版本用于源码编译的软件及版本如下: Windows版本:win10 VisIt版本:vis ...
红队作业 | MSF源码级别免杀实录
文章来源|MS08067 红队培训班第4期本文作者:学员A(红队培训班4期学员) 按老师要求尝试完成布置的作业如下: 对于msf生成的shellcode都是一样的. 所以从代码层面来讲来说,不论是 ...
小红伞和NOD32基于源码的免杀经验总结
小红伞和NOD32的杀毒引擎是非常厉害的,尤其是他们的启发式杀毒,简直快把病毒木马逼到了绝路.由于需要,这两天我和CG(一个高手)对一个远控软件进行了小红伞和NOD32的免杀.一开始很自然的拿出CCL ...
pyinstaller打包逆向分析，顺便免杀Windows Defender
微信公众号:乌鸦安全扫取二维码获取更多信息! 1. python3利用shellcode免杀火绒 1.1 什么是shellcode 在攻击中,shellcode是一段用于利用软件漏洞的有效负载,sh ...
python源码编译 mingw_在windows上用gcc（mingw32）从命令行编译Cython扩展
我正在尝试在win32上测试一个小的cython模块,但是我在构建它时遇到了困难.在文件名为linalg_赛顿.pyx包括以下内容:from __future__ import absolute_i ...
Mimikatz源码免杀
目录介绍环境准备处理报错生成32位生成64位下载360.360杀毒直接查杀关键字替换-失败去除注释,修改版本信息删除注释信息替换图标修改版本信息重新编译文件过杀软 360家 ...
Hadoop-2.8.0集群搭建、hadoop源码编译和安装、host配置、ssh免密登录、hadoop配置文件中的参数配置参数总结、hadoop集群测试,安装过程中的常见错误
25. 集群搭建 25.1 HADOOP集群搭建 25.1.1集群简介 HADOOP集群具体来说包含两个集群:HDFS集群和YARN集群,两者逻辑上分离,但物理上常在一起 HDFS集群: 负责海量数据 ...

艰难的mimikatz源码编译免杀 Windows Defender

说明