mimikatz简易过静态查杀

前言

忘了几时搞的了，过过静态没什么问题，实战运行差不多四五分钟就被联网查了，没什么用，也没技术含量，文章也是那个时候写完存在本地的，现在隐约感觉哪里有逻辑错误，但是我也懒得改了，给我凑篇水文而已（

Mimikatz Github：https://github.com/gentilkiwi/mimikatz

环境安装

1. 在vs2019中安装所需要的组件

1. 在github中下载源码，并导入vs2019中。

导入.sln解决方案，其中mimikatz是我们需要的工具

1. 前往属性页，修改配置属性

这里需要将“将警告视为错误”修改为 否

不然你生成的时候会得到以下报错

1. 尝试生成一个

能够正常使用

1. 毫无疑问的，被火绒检测到直接清除

免杀

思路：替换特征、修改ico图标、修改版本信息、加壳、签名

1. 点击编辑-查找和替换-快速替换

1. 替换关键词为任意不相关的词

（大写，小写，文件开头的注释等）

1. 将文件名头替换为前面的值（我这里替换的是light）

1. 提取其他软件图标，并替换mimikatz目录下的图标

1. 做完上述操作后，重新生成.exe

资源替换 + 加壳 + 更改数字签名 免杀操作

上面的操作编译完后依旧会被查杀，这里继续尝试免杀操作（PS：重复了前面的操作后，这边换了个名字，为lighthouse，操作都一样

1. 使用工具Resource Hacker替换版本

1. 使用工具VMProtect Ultimate进行加壳

1. 使用工具sigthief.py进行签名

Github： https://github.com/secretsquirrel/SigThief 用法： python3 sigthief.py -i <提供正常签名的程序> -t <需要签名的程序> -o <完成后输出的文件名>

1. 扫描软件，并执行命令

privilege::debug
sekurlsa::logonpasswords

参考文章： 失败mimikatz源码免杀和成功的免杀Windows Defender https://xz.aliyun.com/t/10821#toc-0 语雀 mimikatz免杀的方式 https://www.yuque.com/zirc0n/escbhg/xzs806#9aad730c