0x01 工具介绍
C#实现的一个远程拉取Mimikatz.ps1到内存加载,分离免杀工具。通过调用powershell模块的接口远程拉取mimikatz的ps脚本到内存中来规避一些杀软的检测,据我所知国内对powershell进程行为十分敏感,但是基于调用接口内存远程加载拉取有很好的规避效果。
这个项目只是我拿来学习C#练手的项目,并没有去想如何进一步混淆特征、流量、规避启发式检测,这种方式可以很好躲开基于进程链的检查,所以免杀还不是很完美,师傅可以下去自行修改。
关注【Hack分享吧】公众号,回复关键字【230425】获取下载链接
0x02 工具使用
本地启一个http的服务 把ps脚本放到根目录等待请求C#写好的程序以管理员运行 效果就是这样的。
上传沙箱试试
国内杀软比如火绒、360也是都没有问题