干货 | 源码免杀之Mimikatz

Delina

原文链接：干货 | 源码免杀之Mimikatz
​
1.Mimikatz源码下载
首先在github下载mimikatz源码
https://github.com/gentilkiwi/mimikatz
使用vs2017打开工程
​​
2.替换mimikatz字符串

1. 在程序没有运行的情况下，一般都是通过特征码判断的。而且Mimikatz这些知名工具的内容像mimikatz、作者信息之类的字符串就很容易被做为特征码识别。
   
2. 
   
3. 通用阅读源码大体可以了解存在比较明显的关键字：mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些内容。可以利用Visual Studio的替换功能实现关键字的处理。操作如下：
   
4. 
   
5. 编辑 -> 查找和替换 -> 在文件中替换 -> 区分大小写
   
6. 
   
7. mimikatz替换为wooyun
   
8. 
   
9. MIMIKATZ替换为WOOYUN
   
10. 
    
11. 将mimikatz.xx文件重命名为wooyun.xx（“xx“代表任意后缀）
    
12. 
    
13. 编辑 mimikatz/mimikatz/wooyun.rc，将一些名称进行修改，还有种类编辑器注释作者名称。

复制代码

按ctrl+shift+f替换所有文件中的mimikatz字符串
​​
3.解决方案配置
首先勾选release
​然后右键mimikatz项目属性，在常规中MFC的使用中选择在静态库使用MFC
​

在c/c++中运行库选择多线程（/MT）
​
4.解决报错
点击生成会发现两处报错都是找不到wooyun.h
​

双击这一行，会来到报错代码处
​

将wooyun重新改为mimikatz
还有一处一样操作
​​

重新生成，依然是找不到文件错误
​

将wooyun.ico改为mimikatz.ico,重新生成
​
5.删除默认的静态资源
使用360查杀发现已经免杀
​
但是发现打开mimikatz时会被360动态拦截
​

使用Restorator 2018编辑静态资源
​

删除图标和界面风格
打开mimikatz发现已经绕过动态查杀
​
​