艰难的mimikatz源码编译免杀 Windows Defender
微信公众号:乌鸦安全
扫取二维码获取更多信息!
说明
本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考!
本文mimikatz源码编译未能免杀Windows Defender,后面使用的是其他的方式,思路和源代码暂不公开,希望师傅们能够理解!
2. 免杀结论
2.1 二次编译失败
1.二次编译免杀火绒
失败,秒杀!
2.二次编译后,联网360
全家桶环境下,有效期大概2分钟左右,后360联网
上传样本后失效。3.Windows Defender
免杀更不用想,秒杀!
2.2 其他方法成功
免杀火绒成功
免杀Windows Defender(关闭自动上传可疑样本)成功
360
不进行测试,联网
无意义!
相关免杀文件可在我的GitHub
进行下载:
https://github.com/crow821/crowsec/tree/master/Bypass_mimikatz
欢迎多多star!
如果师傅在GitHub下载不方便的话,可以直接在公众号后台回复:猕猴桃 下载!
3. 说明
机器1:Windows10
编辑环境:vs2012
杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本)
机器2:Windows7
杀软:火绒联网最新版
机器3:Windows10
杀软:360杀毒联网最新版(会自动上传样本)
机器4:Windows10
杀软:Windows Defender(关闭自动上传样本)
本文原本想学习下二次编译mimikatz
免杀360
和火绒
,但是经过多次折腾之后发现,火绒
依旧对其秒杀,360杀毒
和360安全卫士联网(带安全大脑)
只能算免杀1分钟
,Windows Defender
断网都能秒杀!其实过火绒
和360
有很多方法,不过在这只是为了学习(无脑修改
)编译源码。本文按照一个去特征的思路,慢慢的做,一点点的分析(坑自己
)。
其实在本文中,mimikatz源码去特征免杀难度排序的话,应该是:
Windows Defender
(天下无敌) > 火绒
(联网不联网都一样) > 360安全卫士
(联网版,会自动上传样本) = 360杀毒
(联网版,会自动上传样本)> 360安全卫士
(不上传样本) >= 360杀毒
(不上传样本)
以上仅仅针对本文接下来的操作而已,其实实战中,火绒在一定程度上更容易过。
4. mimikatz源码编译
从https://github.com/gentilkiwi/mimikatz直接将源代码下载下来:
将文件解压之后,使用vs2012
打开:
打开之后,可以看到当前存在报错信息:
在这里右键选择重新生成解决方案:
点击之后配置环境:
在当前环境中,选择平台工具集-
>选择visual Studio 2012(v110)
,然后应用。接着在c/c++
的常规中,将错误属性设置为否
。
在解决方案中,点击属性:
在配置属性中选择x64
位:
直接应用,在解决方案处
,右键-->重新生成解决方案
:
在这里需要一些时间会编译成功(在这里很多人都是生成成功1个,失败0个,不过都是正常
)
直接去文件夹下看文件:
在这里关闭所有防护,看下工具好不好用:最常用的命令:
privilege::debug 提取权限
sekurlsa::logonpasswords 抓取密码
选择以管理员身份运行:
能过获得hash
信息,证明编译有效。
5. mimikatz正常编译免杀效果
当前编译之后的mimikatz
在火绒
和360
、windows Defender
环境下测试:
5.1 360
360
右键联网查杀
的时候,当即没有查出来,但是直接将样本进行上传,而且当右键运行mimikatz
的时候,直接弹出警告信息:
再次双击运行的时候,直接报毒!
5.2 火绒
复制进去之后,秒杀!
5.3 360杀毒
5.4 windows Defender
在这里压根不用测试windows Defender
,会被杀的更快:
因为本文使用的方法无法bypass
windows Defender
和360安全卫士联网版(自动上传样本)
,所以本文下面的编译部分不会对windows Defender
再进行测试,但是会选择性测试360安全卫士联网版(自动上传样本)
。
6. mimikatz源码去特征
6.1 替换关键字mimikatz
首先是去除mimikatz
关键字,按照如图所示在文件中替换关键字:
在这里选择将mimikatz
全部替换为crowsec
(大小写要分开),并且查找范围为整个解决方案
:
大写
:
替换关键字之后,在这里会报错,需要继续进行替换:
将整个项目文件的mimikatz
全部进行替换为crowsec
关键字:
此时已经替换完成:
先不要继续替换了,编译下试试看,能否编译成功:
成功以后,测试下功能:
privilege::debug 提取权限
sekurlsa::logonpasswords 抓取密码
使用正常,测试下免杀能力:
6.1.1 火绒
直接被秒
6.1.2 360杀毒(会自动上传样本)
6.2 mimilove.rc版本信息
该文件主要是版本信息:
删除敏感信息:
删除之后:
在空白处右键新增版本信息:
新增之后的信息:
直接保存,然后使用解决方案资源管理器
,切换到主视图:
在这里右键选择:重新生成
!!!
等待编译后看看文件夹:
同样的方法,试试能不能用,火绒能不能免杀:
6.2.1 火绒
6.2.2 360杀毒(会自动上传样本)
静态扫描无毒,打开提示病毒!
6.3 替换ico文件
如下图右键打开文件资源管理器:
很多时候,杀软对图标(hash
)比较敏感,所以在这里进行替换ico
,自己制作ico
的网站:http://www.bitbug.net
做的时候,记得是32*32
大小。
将新的图标进行替换:
直接编译:
得到文件(在这里因为缓存问题,小图标没有及时更新)
老问题,看看能不能用,看看能不能免杀
6.3.1 火绒
6.3.2 360杀毒(会自动上传样本)
扫描到肯定是无毒的,打开可以用,在这看到扫描的时间是22:28:42
,趁着这个时间赶紧执行下,执行成功。
在这里发现了病毒,查阅日志发现,大概2分钟
之后开始报毒!
6.4 mimilove.c
在mimilove
中,找到mimilove.c
文件,该文件主要是作者的信息:
6.5 关键字creativecommons.org替换
将creativecommons.org
替换为baidu.com
再次编译下看看(编译时间较长
)
编译成功,继续测试。
6.5.1 火绒
6.5.2 360杀毒(联网版)
等一段时间再看下:
大概1分钟
之后,报毒!
6.6关键字gentilkiwi.com替换
继续去除信息:将gentilkiwi.com
替换为google.com
再次编译下:
还是被杀:
6.6.1 火绒
6.6.2 360杀毒(联网版)
执行命令之后,大概2分钟左右,被杀!
6.7 关键字benjamin替换
将benjamin
关键字使用同样的方法替换为crowsec
编译下再试试:
在这里不区分大小写的情况下再试试:
6.7 关键字gentilkiwi替换
将gentilkiwi
不区分大小写的替换为crowkiwi
编译成功:
6.9 删除mimilove
还是被杀。。。。但是不清楚什么时候开始,360已经过了。。。
同样,一段时间后:
7. 总结
在这里可以看到:无论是如何去特征后编译,都无法正常免杀火绒。(当然,一定要细究的话,也是可以的,但是难度很高,费事!) 360
一般在本地不会主动查杀,其查杀靠的是其联网上传样本之后,因为云端查杀需要时间,所以在这之间有一段时间,可以运行木马执行命令。 Windows Defender
更不用考虑,所以依靠源代码二次编译免杀的难度很高,可以采用其他的方式进行免杀(暂不提供详情
),在这里放bypass
成功之后的图,在这里没有放360,毕竟上传样本伤不起!
其实到这里之后,再进行免杀研究的话,难度就会低一些了,师傅们见谅,这种方法只提供工具,暂时不能提供方法哈!
7.1 bypass 火绒
7.2 Windows Defender (不自动上传样本)
免杀脚本在Github上可以找到:
https://github.com/crow821/crowsec
艰难的mimikatz源码编译免杀 Windows Defender相关推荐
- gh0st3.6源码编译+++免杀教程
这里有4个教程 可以去看看 gh0st3.6编译教程 http://www.3800hk.com/donghua/f/24166.html vc++6.0对gh0st驱动免杀教程.rar htt ...
- 老树开新花之shellcode_launcher免杀Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 免杀效果 静态免杀 动态免杀效果(指的是可执行命令) 1. 准备条件 本文中的免杀方式在我写完文章之后,免杀基本已经失效,毕竟是见光死,所以仅供各位师傅 ...
- 可视化工具VisIt源码编译教程(Windows,图文讲解)
我新建了一个VisIt软件的交流qq群:1169585995,欢迎大家加入一起交流,一起学习! 所用软件及其版本 用于源码编译的软件及版本如下: Windows版本:win10 VisIt版本:vis ...
- 红队作业 | MSF源码级别免杀实录
文章来源|MS08067 红队培训班 第4期 本文作者:学员A(红队培训班4期学员) 按老师要求尝试完成布置的作业如下: 对于msf生成的shellcode都是一样的. 所以从代码层面来讲来说,不论是 ...
- 小红伞和NOD32基于源码的免杀经验总结
小红伞和NOD32的杀毒引擎是非常厉害的,尤其是他们的启发式杀毒,简直快把病毒木马逼到了绝路.由于需要,这两天我和CG(一个高手)对一个远控软件进行了小红伞和NOD32的免杀.一开始很自然的拿出CCL ...
- pyinstaller打包逆向分析,顺便免杀Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 1. python3利用shellcode免杀火绒 1.1 什么是shellcode 在攻击中,shellcode是一段用于利用软件漏洞的有效负载,sh ...
- python源码编译 mingw_在windows上用gcc(mingw32)从命令行编译Cython扩展
我正在尝试在win32上测试一个小的cython模块,但是我在构建它时遇到了困难.在 文件名为linalg_赛顿.pyx包括以下内容:from __future__ import absolute_i ...
- Mimikatz源码免杀
目录 介绍 环境准备 处理报错 生成32位 生成64位 下载360.360杀毒 直接查杀 关键字替换-失败 去除注释,修改版本信息 删除注释信息 替换图标 修改版本信息 重新编译文件 过杀软 360家 ...
- Hadoop-2.8.0集群搭建、hadoop源码编译和安装、host配置、ssh免密登录、hadoop配置文件中的参数配置参数总结、hadoop集群测试,安装过程中的常见错误
25. 集群搭建 25.1 HADOOP集群搭建 25.1.1集群简介 HADOOP集群具体来说包含两个集群:HDFS集群和YARN集群,两者逻辑上分离,但物理上常在一起 HDFS集群: 负责海量数据 ...
最新文章
- DataGrid能否动态合并一笔订单下面的多个交易
- Oracle的ORA-02292报错:违反完整性约束,已找到子记录
- UNIX再学习 -- 文件I/O
- java 不定参数方法_java中不定长参数的使用方法
- c语言字符指针清零,C语言中字符串的内存地址操作的相关函数简介
- mysql学习笔记(1-安装简介)
- Tomcat启动过程源码分析四
- {WP7/WP8·获取屏幕大小}
- VC 2012 中调用WebBrowser简单的实现过程(图解过程)
- SAS Planet下载卫星地图
- 基于等效积分形式的近似方法——加权余量法(配点法,伽辽金法)求解微分方程近似解
- ant-design tree 设置默认选中状态_[路由系列]5分钟设置一台Ubiquiti的ERX路由器
- QQ Scheme跳转接口
- JAVA图片与字节流的相互转换
- 华为hcie证书怎么样 如何报考华为认证HCIE
- 嵌入式知识框架之六-接口与总线(SPI\I2C\ USB\PCI\PCI-E\SD\SDIO\以太网接口)
- java 超卖_Java生鲜电商平台-秒杀系统如何防止超买与超卖?(小程序/APP)
- nomasp的2015博客之星投票总结
- 全面剖析固态硬盘M.2接口与PCI-E SSD固态硬盘的关系
- 团队融洽之拓展器械拓展训练