该文章介绍了一个C#编写的工具,用于远程拉取Mimikatz.ps1脚本并内存加载,以规避某些杀毒软件的检测。工具利用PowerShell接口,但未进行深度混淆和流量规避处理,目前能有效避开基于进程链的检查,不过免杀性能仍有提升空间。提供了一个本地HTTP服务的使用场景,并提到在国内部分杀软中未被检测出问题。
0x01 工具介绍
C#实现的一个远程拉取Mimikatz.ps1到内存加载,分离免杀工具。通过调用powershell模块的接口远程拉取mimikatz的ps脚本到内存中来规避一些杀软的检测,据我所知国内对powershell进程行为十分敏感,但是基于调用接口内存远程加载拉取有很好的规避效果。
这个项目只是我拿来学习C#练手的项目,并没有去想如何进一步混淆特征、流量、规避启发式检测,这种方式可以很好躲开基于进程链的检查,所以免杀还不是很完美,师傅可以下去自行修改。
关注【Hack分享吧】公众号,回复关键字【230425】获取下载链接
0x02 工具使用
本地启一个http的服务 把ps脚本放到根目录等待请求C#写好的程序以管理员运行 效果就是这样的。
上传沙箱试试
国内杀软比如火绒、360也是都没有问题
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
