https://visualstudio.microsoft.com/zh-hans/ https://github.com/gentilkiwi/mimikatz
这里下载了vs2019 Communtiy版,安装过程中要注意左边勾选C++桌面开发和通用Windows平台开发,右边把SDK,C++工具包也勾选上,不然后面可能会报各种错,这样估计安装大小有30多G,默认是安装在C盘的,空间不够的注意修改安装路径。 选择完之后等下载安装完成。然后从VS打开项目文件夹或者从文件夹选择使用VS打开或者使用VS打开mimikatz.sln这个文件。 如果没报错,应该会是下面这样,如果打开报错,就按照错误提示进行处理。 编译之前还要修改下编译配置,选择调试->mimikatz调试属性或者在右边资源管理器右键选择mimikatz选属性 将Windows SDK版本和平台工具集改为对应版本 然后开始编译,选择32位还是64位,一般都选64位的,如果一切正常可以在下面输出信息看到结果。 生成的文件在项目目录x64文件夹下,以为编译的是原版的,所以编译完直接被杀。
mimikatz.sln
调试->mimikatz调试属性
mimikatz
Windows SDK
因为原版的肯定会被直接杀掉,这里做个简单的免杀,思路就是混淆和加壳,基本上能过静态查杀
这里混淆使用的是S3cur3Th1sSh1t 大牛的混淆脚本 https://gist.githubusercontent.com/S3cur3Th1sSh1t/08623de0c5cc67d36d4a235cec0f5333/raw/dafbd32d1307c4ebb512e4eb7c43c7e1292bcac9/ObfuscateMimi_First.sh 看下脚本内容,基本上是对关键字做了随机替换,详情有在他的博客详细介绍 https://s3cur3th1ssh1t.github.io/Building-a-custom-Mimikatz-binary/ 运行完脚本之后再次编译 编译结果 运行没问题,但是还是落地杀
S3cur3Th1sSh1t
https://github.com/upx/upx 使用upx加壳 加壳过后大小800k左右,已经可以过火绒和360 运行也没问题 但是还是没过卡巴,还是落地杀,编译多次每次md5都不同也不行,不知道他这个启发式分析是基于什么来识别的,只能说卡巴YYDS! 文件落地不行,可以用远程加载的方式,目前还能使用的一个办法,用S3cur3Th1sSh1t牛的WinPwn工具箱,里面包含了mimikatz,通过远程加载的方式,暂时还可以过卡巴运行,下次再写篇文章介绍一下。 https://github.com/S3cur3Th1sSh1t/WinPwn
红队大哥带带弟弟
ddddhm
