mimikatz
mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查杀的几率极高。
1、免杀方式
对mimikatz我们进行源码免杀。源码免杀只需要定位源码中的特征代码进行修改就可以达到预期的免杀效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。
2、免杀处理
我们访问https://github.com/gentilkiwi/mimikatz 下载源码
我们用vs2012打开源码进行免杀处理
编译源码,这里注意编译源码可能会报错(V110),我们需要去要编译对象的属性里
该成这样,再选择C/C++
改成这样,我们这里需要生成一个x64的执行文件,所以去改一下