1. 概述

Mimikatz打开就被杀
image.png
实现对mimikatz的免杀
主要使用加壳+签名+资源替换的方式来实现

2. 工具

  1. Ø VMProtect Ultimate 3.4.0加壳软件
  2. 下载链接: https://pan.baidu.com/s/1VXaZgZ1YlVQW9P3B_ciChg 提取码: emnq
  4. Ø 签名软件
  5. https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/sigthief.py
  7. Ø 资源替换软件ResHacker
  8. https://github.com/TideSec/BypassAntiVirus/blob/master/tools/mimikatz/ResHacker.zip

3. 免杀

3.1 资源替换

先替换资源,使用ResHacker打开mimikatz.exe,然后在图标里替换为火绒图标,version里面文字自己随意更改。
image.png
这里替换为360安全卫士的图标。
image.png
另存为:
image.png

3.2 加壳

安装vmp加壳软件后,使用vmp进行加壳。按F9进行编译
image.png
image.png
image.png

3.3 签名

可参考https://github.com/secretsquirrel/SigThief

3.3.1 使用火绒签名

  1. python sigthief.py -i HipsMain.exe -t mimikatz.vmp.exe -o mimikatz_huorong.exe

其中:hipsmain.exe是火绒的主程序
image.png
image.png
生成的工具如下:
image.png

3.3.2 利用360签名

可以看到使用360安全卫士的签名以后,mimikatz的签名也是360安全卫士的。
image.png
image.png

3.4 备注

上面资源替换的时候生成的文件有问题,所以第2、3步没有在第一步以后进行,是独立进行的。