USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > 业界 > 艰难的mimikatz源码编译免杀 Windows Defender

    艰难的mimikatz源码编译免杀 Windows Defender

    业界 admin 10浏览 0评论

    微信公众号:乌鸦安全 

    扫取二维码获取更多信息!

     说明

    本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考!

    本文mimikatz源码编译未能免杀Windows Defender,后面使用的是其他的方式,思路和源代码暂不公开,希望师傅们能够理解!

    2. 免杀结论

    2.1 二次编译失败

    1.二次编译免杀火绒失败,秒杀!

    2.二次编译后,联网360全家桶环境下,有效期大概2分钟左右,后360联网上传样本后失效。3.Windows Defender免杀更不用想,秒杀!

    2.2 其他方法成功

    免杀火绒成功 免杀Windows Defender(关闭自动上传可疑样本)成功 360不进行测试,联网无意义!

    相关免杀文件可在我的GitHub进行下载:

    https://github/crow821/crowsec/tree/master/Bypass_mimikatz

    欢迎多多star!

    如果师傅在GitHub下载不方便的话,可以直接在公众号后台回复:猕猴桃 下载!

     

    3. 说明

    机器1:Windows10 编辑环境:vs2012 杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本)

    机器2:Windows7 杀软:火绒联网最新版

    机器3:Windows10 杀软:360杀毒联网最新版(会自动上传样本)

    机器4:Windows10 杀软:Windows Defender(关闭自动上传样本)

    本文原本想学习下二次编译mimikatz免杀360火绒,但是经过多次折腾之后发现,火绒依旧对其秒杀,360杀毒360安全卫士联网(带安全大脑)只能算免杀1分钟Windows Defender断网都能秒杀!其实过火绒360有很多方法,不过在这只是为了学习(无脑修改)编译源码。本文按照一个去特征的思路,慢慢的做,一点点的分析(坑自己)。

    其实在本文中,mimikatz源码去特征免杀难度排序的话,应该是:

    Windows Defender(天下无敌) > 火绒(联网不联网都一样) > 360安全卫士(联网版,会自动上传样本) = 360杀毒(联网版,会自动上传样本)> 360安全卫士(不上传样本) >= 360杀毒 (不上传样本)

    以上仅仅针对本文接下来的操作而已,其实实战中,火绒在一定程度上更容易过。

    4. mimikatz源码编译

    从https://github/gentilkiwi/mimikatz直接将源代码下载下来:

     

    将文件解压之后,使用vs2012打开:

     

    打开之后,可以看到当前存在报错信息:


    在这里右键选择重新生成解决方案:

     

    点击之后配置环境:

     

    在当前环境中,选择平台工具集->选择visual Studio 2012(v110),然后应用。接着在c/c++的常规中,将错误属性设置为

     

    在解决方案中,点击属性:

     

    在配置属性中选择x64位:

     

    直接应用,在解决方案处,右键-->重新生成解决方案

     

    在这里需要一些时间会编译成功(在这里很多人都是生成成功1个,失败0个,不过都是正常)

     

    直接去文件夹下看文件:

     

    在这里关闭所有防护,看下工具好不好用:最常用的命令:

    privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

     

    选择以管理员身份运行:

     

    能过获得hash信息,证明编译有效。

    5. mimikatz正常编译免杀效果

    当前编译之后的mimikatz火绒360windows Defender环境下测试:

    5.1 360

    360右键联网查杀的时候,当即没有查出来,但是直接将样本进行上传,而且当右键运行mimikatz的时候,直接弹出警告信息:

     

    再次双击运行的时候,直接报毒!

     

    5.2 火绒

    复制进去之后,秒杀!

     

    5.3 360杀毒

     

     

    5.4 windows Defender

    在这里压根不用测试windows Defender,会被杀的更快:

     

    因为本文使用的方法无法bypass windows Defender360安全卫士联网版(自动上传样本),所以本文下面的编译部分不会对windows Defender再进行测试,但是会选择性测试360安全卫士联网版(自动上传样本)

    6. mimikatz源码去特征

    6.1 替换关键字mimikatz

    首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:

     

    在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案

     

    大写

     

    替换关键字之后,在这里会报错,需要继续进行替换:

     

    将整个项目文件的mimikatz全部进行替换为crowsec关键字:

     

    此时已经替换完成:

     

    先不要继续替换了,编译下试试看,能否编译成功:

     

     

    成功以后,测试下功能:

    privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

     

    使用正常,测试下免杀能力:

    6.1.1 火绒

     

    直接被秒

    6.1.2 360杀毒(会自动上传样本)

     

    6.2 mimilove.rc版本信息

    该文件主要是版本信息:

     

    删除敏感信息:

     

    删除之后:

     

    在空白处右键新增版本信息:

     

    新增之后的信息:

     

    直接保存,然后使用解决方案资源管理器,切换到主视图:

     

    在这里右键选择:重新生成!!!

     

    等待编译后看看文件夹:

     

    同样的方法,试试能不能用,火绒能不能免杀:

     

    6.2.1 火绒

     

    6.2.2 360杀毒(会自动上传样本)

     

     

    静态扫描无毒,打开提示病毒!

    6.3 替换ico文件

    如下图右键打开文件资源管理器:

     

    很多时候,杀软对图标(hash)比较敏感,所以在这里进行替换ico,自己制作ico的网站:http://www.bitbug

    做的时候,记得是32*32大小。

     

    将新的图标进行替换:

     

    直接编译:

     

    得到文件(在这里因为缓存问题,小图标没有及时更新)

     

    老问题,看看能不能用,看看能不能免杀

     

    6.3.1 火绒

     

    6.3.2 360杀毒(会自动上传样本)

     

    扫描到肯定是无毒的,打开可以用,在这看到扫描的时间是22:28:42,趁着这个时间赶紧执行下,执行成功。

     

    在这里发现了病毒,查阅日志发现,大概2分钟之后开始报毒!

     

     

    6.4 mimilove.c

    mimilove中,找到mimilove.c文件,该文件主要是作者的信息:

     

    6.5 关键字creativecommons替换

    creativecommons替换为baidu

     

    再次编译下看看(编译时间较长)

     

    编译成功,继续测试。

    6.5.1 火绒

     

    6.5.2 360杀毒(联网版)

     

    等一段时间再看下:

     

    大概1分钟之后,报毒!

    6.6关键字gentilkiwi替换

    继续去除信息:将gentilkiwi替换为google

     

    再次编译下:

     

    还是被杀:

    6.6.1 火绒

     

    6.6.2 360杀毒(联网版)

     

    执行命令之后,大概2分钟左右,被杀!

     

    6.7 关键字benjamin替换

    benjamin关键字使用同样的方法替换为crowsec

     

    编译下再试试:

     

     

    在这里不区分大小写的情况下再试试:

     

     

     

    6.7 关键字gentilkiwi替换

    gentilkiwi不区分大小写的替换为crowkiwi

     

    编译成功:

     

     

    6.9 删除mimilove

     

     

     

     

    还是被杀。。。。但是不清楚什么时候开始,360已经过了。。。

     

     

    同样,一段时间后:

     

    7. 总结

    在这里可以看到:无论是如何去特征后编译,都无法正常免杀火绒。(当然,一定要细究的话,也是可以的,但是难度很高,费事!) 360一般在本地不会主动查杀,其查杀靠的是其联网上传样本之后,因为云端查杀需要时间,所以在这之间有一段时间,可以运行木马执行命令。 Windows Defender更不用考虑,所以依靠源代码二次编译免杀的难度很高,可以采用其他的方式进行免杀(暂不提供详情),在这里放bypass成功之后的图,在这里没有放360,毕竟上传样本伤不起!

    其实到这里之后,再进行免杀研究的话,难度就会低一些了,师傅们见谅,这种方法只提供工具,暂时不能提供方法哈!

    7.1 bypass 火绒

     

     

    7.2 Windows Defender (不自动上传样本)

     

     

    免杀脚本在Github上可以找到:

    https://github/crow821/crowsec

    微信公众号:乌鸦安全 

    扫取二维码获取更多信息!

     说明

    本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考!

    本文mimikatz源码编译未能免杀Windows Defender,后面使用的是其他的方式,思路和源代码暂不公开,希望师傅们能够理解!

    2. 免杀结论

    2.1 二次编译失败

    1.二次编译免杀火绒失败,秒杀!

    2.二次编译后,联网360全家桶环境下,有效期大概2分钟左右,后360联网上传样本后失效。3.Windows Defender免杀更不用想,秒杀!

    2.2 其他方法成功

    免杀火绒成功 免杀Windows Defender(关闭自动上传可疑样本)成功 360不进行测试,联网无意义!

    相关免杀文件可在我的GitHub进行下载:

    https://github/crow821/crowsec/tree/master/Bypass_mimikatz

    欢迎多多star!

    如果师傅在GitHub下载不方便的话,可以直接在公众号后台回复:猕猴桃 下载!

     

    3. 说明

    机器1:Windows10 编辑环境:vs2012 杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本)

    机器2:Windows7 杀软:火绒联网最新版

    机器3:Windows10 杀软:360杀毒联网最新版(会自动上传样本)

    机器4:Windows10 杀软:Windows Defender(关闭自动上传样本)

    本文原本想学习下二次编译mimikatz免杀360火绒,但是经过多次折腾之后发现,火绒依旧对其秒杀,360杀毒360安全卫士联网(带安全大脑)只能算免杀1分钟Windows Defender断网都能秒杀!其实过火绒360有很多方法,不过在这只是为了学习(无脑修改)编译源码。本文按照一个去特征的思路,慢慢的做,一点点的分析(坑自己)。

    其实在本文中,mimikatz源码去特征免杀难度排序的话,应该是:

    Windows Defender(天下无敌) > 火绒(联网不联网都一样) > 360安全卫士(联网版,会自动上传样本) = 360杀毒(联网版,会自动上传样本)> 360安全卫士(不上传样本) >= 360杀毒 (不上传样本)

    以上仅仅针对本文接下来的操作而已,其实实战中,火绒在一定程度上更容易过。

    4. mimikatz源码编译

    从https://github/gentilkiwi/mimikatz直接将源代码下载下来:

     

    将文件解压之后,使用vs2012打开:

     

    打开之后,可以看到当前存在报错信息:


    在这里右键选择重新生成解决方案:

     

    点击之后配置环境:

     

    在当前环境中,选择平台工具集->选择visual Studio 2012(v110),然后应用。接着在c/c++的常规中,将错误属性设置为

     

    在解决方案中,点击属性:

     

    在配置属性中选择x64位:

     

    直接应用,在解决方案处,右键-->重新生成解决方案

     

    在这里需要一些时间会编译成功(在这里很多人都是生成成功1个,失败0个,不过都是正常)

     

    直接去文件夹下看文件:

     

    在这里关闭所有防护,看下工具好不好用:最常用的命令:

    privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

     

    选择以管理员身份运行:

     

    能过获得hash信息,证明编译有效。

    5. mimikatz正常编译免杀效果

    当前编译之后的mimikatz火绒360windows Defender环境下测试:

    5.1 360

    360右键联网查杀的时候,当即没有查出来,但是直接将样本进行上传,而且当右键运行mimikatz的时候,直接弹出警告信息:

     

    再次双击运行的时候,直接报毒!

     

    5.2 火绒

    复制进去之后,秒杀!

     

    5.3 360杀毒

     

     

    5.4 windows Defender

    在这里压根不用测试windows Defender,会被杀的更快:

     

    因为本文使用的方法无法bypass windows Defender360安全卫士联网版(自动上传样本),所以本文下面的编译部分不会对windows Defender再进行测试,但是会选择性测试360安全卫士联网版(自动上传样本)

    6. mimikatz源码去特征

    6.1 替换关键字mimikatz

    首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:

     

    在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案

     

    大写

     

    替换关键字之后,在这里会报错,需要继续进行替换:

     

    将整个项目文件的mimikatz全部进行替换为crowsec关键字:

     

    此时已经替换完成:

     

    先不要继续替换了,编译下试试看,能否编译成功:

     

     

    成功以后,测试下功能:

    privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码

     

    使用正常,测试下免杀能力:

    6.1.1 火绒

     

    直接被秒

    6.1.2 360杀毒(会自动上传样本)

     

    6.2 mimilove.rc版本信息

    该文件主要是版本信息:

     

    删除敏感信息:

     

    删除之后:

     

    在空白处右键新增版本信息:

     

    新增之后的信息:

     

    直接保存,然后使用解决方案资源管理器,切换到主视图:

     

    在这里右键选择:重新生成!!!

     

    等待编译后看看文件夹:

     

    同样的方法,试试能不能用,火绒能不能免杀:

     

    6.2.1 火绒

     

    6.2.2 360杀毒(会自动上传样本)

     

     

    静态扫描无毒,打开提示病毒!

    6.3 替换ico文件

    如下图右键打开文件资源管理器:

     

    很多时候,杀软对图标(hash)比较敏感,所以在这里进行替换ico,自己制作ico的网站:http://www.bitbug

    做的时候,记得是32*32大小。

     

    将新的图标进行替换:

     

    直接编译:

     

    得到文件(在这里因为缓存问题,小图标没有及时更新)

     

    老问题,看看能不能用,看看能不能免杀

     

    6.3.1 火绒

     

    6.3.2 360杀毒(会自动上传样本)

     

    扫描到肯定是无毒的,打开可以用,在这看到扫描的时间是22:28:42,趁着这个时间赶紧执行下,执行成功。

     

    在这里发现了病毒,查阅日志发现,大概2分钟之后开始报毒!

     

     

    6.4 mimilove.c

    mimilove中,找到mimilove.c文件,该文件主要是作者的信息:

     

    6.5 关键字creativecommons替换

    creativecommons替换为baidu

     

    再次编译下看看(编译时间较长)

     

    编译成功,继续测试。

    6.5.1 火绒

     

    6.5.2 360杀毒(联网版)

     

    等一段时间再看下:

     

    大概1分钟之后,报毒!

    6.6关键字gentilkiwi替换

    继续去除信息:将gentilkiwi替换为google

     

    再次编译下:

     

    还是被杀:

    6.6.1 火绒

     

    6.6.2 360杀毒(联网版)

     

    执行命令之后,大概2分钟左右,被杀!

     

    6.7 关键字benjamin替换

    benjamin关键字使用同样的方法替换为crowsec

     

    编译下再试试:

     

     

    在这里不区分大小写的情况下再试试:

     

     

     

    6.7 关键字gentilkiwi替换

    gentilkiwi不区分大小写的替换为crowkiwi

     

    编译成功:

     

     

    6.9 删除mimilove

     

     

     

     

    还是被杀。。。。但是不清楚什么时候开始,360已经过了。。。

     

     

    同样,一段时间后:

     

    7. 总结

    在这里可以看到:无论是如何去特征后编译,都无法正常免杀火绒。(当然,一定要细究的话,也是可以的,但是难度很高,费事!) 360一般在本地不会主动查杀,其查杀靠的是其联网上传样本之后,因为云端查杀需要时间,所以在这之间有一段时间,可以运行木马执行命令。 Windows Defender更不用考虑,所以依靠源代码二次编译免杀的难度很高,可以采用其他的方式进行免杀(暂不提供详情),在这里放bypass成功之后的图,在这里没有放360,毕竟上传样本伤不起!

    其实到这里之后,再进行免杀研究的话,难度就会低一些了,师傅们见谅,这种方法只提供工具,暂时不能提供方法哈!

    7.1 bypass 火绒

     

     

    7.2 Windows Defender (不自动上传样本)

     

     

    免杀脚本在Github上可以找到:

    https://github/crow821/crowsec

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论