1. 说明

本文的所有技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

工具放出来很快就会失效!!!仅供参考!

未经本人同意,禁止转载!(尤其是未经授权,禁止搬运至微信公众号!!!)

2. 免杀结论

2.1 二次编译失败

  1. 二次编译免杀火绒失败,秒杀!
  2. 二次编译后,联网360全家桶环境下,有效期大概2分钟左右,后360联网上传样本后失效。
  3. Windows Defender免杀更不用想,秒杀!

2.2 其他方法成功

免杀火绒成功
免杀Windows Defender(关闭自动上传可疑样本)成功
360不进行测试,联网无意义!

相关免杀文件可在我的GitHub进行下载:

https://github.com/crow821/crowsec

3. 说明

机器1:Windows10
编辑环境:vs2012
杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本)

机器2:Windows7
杀软:火绒联网最新版

机器3:Windows10
杀软:360杀毒联网最新版(会自动上传样本)

本文原本想学习下二次编译mimikatz免杀360火绒,但是经过多次折腾之后发现,火绒依旧对其秒杀,360杀毒360安全卫士联网(带安全大脑)只能算免杀1分钟Windows Defender断网都能秒杀!
其实过火绒360有很多方法,不过在这只是为了学习无脑修改)编译源码。
本文按照一个去特征的思路,慢慢的做,一点点的分析坑自己)。

其实在本文中,mimikatz源码去特征免杀难度排序的话,应该是:

Windows Defender(天下无敌) > 火绒(联网不联网都一样) > 360安全卫士(联网版,会自动上传样本) = 360杀毒(联网版,会自动上传样本)>360安全卫士(不上传样本) >= 360杀毒 (不上传样本)

以上仅仅针对本文接下来的操作而已,其实实战中,火绒在一定程度上更容易过。

4. mimikatz源码编译

https://github.com/gentilkiwi/mimikatz直接将源代码下载下来:

将文件解压之后,使用vs2012打开:

打开之后,可以看到当前存在报错信息:

在这里右键选择重新生成解决方案:


点击之后配置环境:

在当前环境中,选择平台工具集->选择visual Studio 2012(v110),然后应用。
接着在c/c++的常规中,将错误属性设置为

在解决方案中,点击属性:

在配置属性中选择x64位:

直接应用,在解决方案处,右键-->重新生成解决方案

在这里需要一些时间会编译成功(在这里很多人都是生成成功1个,失败0个,不过都是正常)


直接去文件夹下看文件:

在这里关闭所有防护,看下工具好不好用:
最常用的命令:

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码


选择以管理员身份运行:


能过获得hash信息,证明编译有效。

5. mimikatz正常编译免杀效果

当前编译之后的mimikatz火绒360windows Defender环境下测试:

5.1 360

360右键联网查杀的时候,当即没有查出来,但是直接将样本进行上传,而且当右键运行mimikatz的时候,直接弹出警告信息:


再次双击运行的时候,直接报毒!

5.2 火绒

复制进去之后,秒杀!

5.3 360杀毒

5.4 windows Defender

在这里压根不用测试windows Defender,会被杀的更快:

因为本文使用的方法无法bypass windows Defender360安全卫士联网版(自动上传样本),所以本文下面的编译部分不会对windows Defender再进行测试,但是会选择性测试360安全卫士联网版(自动上传样本)

6. mimikatz源码去特征

6.1 替换关键字mimikatz

首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:

在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案

大写

替换关键字之后,在这里会报错,需要继续进行替换:

将整个项目文件的mimikatz全部进行替换为crowsec关键字:

此时已经替换完成:

先不要继续替换了,编译下试试看,能否编译成功:


成功以后,测试下功能:

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码


使用正常,测试下免杀能力:

6.1.1 火绒

直接被秒

6.1.2 360杀毒(会自动上传样本)


6.2 mimilove.rc版本信息

该文件主要是版本信息:


删除敏感信息:

删除之后:

在空白处右键新增版本信息:

新增之后的信息:


直接保存,然后使用解决方案资源管理器,切换到主视图:


在这里右键选择:重新生成!!!

等待编译后看看文件夹:


同样的方法,试试能不能用,火绒能不能免杀:

6.2.1 火绒

6.2.2 360杀毒(会自动上传样本)

静态扫描无毒,打开提示病毒!

6.3 替换ico文件

如下图右键打开文件资源管理器:

很多时候,杀软对图标(hash)比较敏感,所以在这里进行替换ico,自己制作ico的网站:http://www.bitbug.net

做的时候,记得是32*32大小。


将新的图标进行替换:

直接编译:

得到文件(在这里因为缓存问题,小图标没有及时更新)

老问题,看看能不能用,看看能不能免杀

6.3.1 火绒

6.3.2 360杀毒(会自动上传样本)

扫描到肯定是无毒的,打开可以用,在这看到扫描的时间是22:28:42,趁着这个时间赶紧执行下,执行成功。

在这里发现了病毒,查阅日志发现,大概2分钟之后开始报毒!

6.4 mimilove.c

mimilove中,找到mimilove.c文件,该文件主要是作者的信息:

6.5 关键字creativecommons.org替换

creativecommons.org替换为baidu.com

再次编译下看看(编译时间较长)

编译成功,继续测试。

6.5.1 火绒

6.5.2 360杀毒(联网版)

等一段时间再看下:

大概1分钟之后,报毒!

6.6关键字gentilkiwi.com替换

继续去除信息:将gentilkiwi.com替换为google.com

再次编译下:


还是被杀:

6.6.1 火绒

6.6.2 360杀毒(联网版)

执行命令之后,大概2分钟左右,被杀!

6.7 关键字benjamin替换

benjamin关键字使用同样的方法替换为crowsec

编译下再试试:


在这里不区分大小写的情况下再试试:

6.7 关键字gentilkiwi替换

gentilkiwi不区分大小写的替换为crowkiwi

编译成功:

6.9 删除mimilove



还是被杀。。。。
但是不清楚什么时候开始,360已经过了。。。

同样,一段时间后:

7. 总结

在这里可以看到:
无论是如何去特征后编译,都无法正常免杀火绒。(当然,一定要细究的话,也是可以的,但是难度很高,费事!)
360一般在本地不会主动查杀,其查杀靠的是其联网上传样本之后,因为云端查杀需要时间,所以在这之间有一段时间,可以运行木马执行命令。
Windows Defender更不用考虑,所以依靠源代码二次编译免杀的难度很高,可以采用其他的方式进行免杀(暂不提供详情),在这里放bypass成功之后的图,在这里没有放360,毕竟上传样本伤不起!
其实到这里之后,再进行免杀研究的话,难度就会低一些了,师傅们见谅,这种方法只提供工具,暂时不能提供方法哈!

7.1 bypass 火绒

7.2 Windows Defender (不自动上传样本)



免杀脚本在Github上可以找到:

https://github.com/crow821/crowsec

点击收藏 | 5 关注 | 3
登录 后跟帖