Mimikatz的18种免杀姿势及防御策略(2)

可以从https://github.com/gentilkiwi/mimikatz/releases下载最新的mimikatz，最新版本为2.2.0(20200308)，我这里都是以64位mimiktaz为例进行测试。

开启360防护时会拦截

virustotal.com上查杀率为55/71。

这里先介绍一种比较常见的pe免杀方法，就是替换资源+加壳+签名，有能力的还可以pe修改，而且mimikatz是开源的，针对源码进行免杀处理效果会更好，这里不多做讨论。

需要几个软件，VMProtect Ultimate 3.4.0加壳软件，下载链接: https://pan.baidu.com/s/1VXaZgZ1YlVQW9P3B_ciChg 提取码: emnq

签名软件https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/sigthief.py

资源替换软件ResHacker：https://github.com/TideSec/BypassAntiVirus/blob/master/tools/mimikatz/ResHacker.zip

先替换资源，使用ResHacker打开mimikatz.exe，然后在图标里替换为360图标，version里面文字自己随意更改。

安装vmp加壳软件后，使用vmp进行加壳

使用sigthief.py对上一步生成的exe文件进行签名。sigthief的详细用法可以参考https://github.com/secretsquirrel/SigThief。

然后看看能不能运行，360和火绒都没问题。

VT平台上mimikatz32_360.exe文件查杀率9/70，缺点就是vmp加壳后会变得比较大。

当exe文件执行被拦截时，最常想到的就是使用PowerSploit中的Invoke-Mimikatz.ps1了。它虽然是powershell格式，但由于知名度太高，目前也是被查杀的惨不忍睹了。

可以去PowerSploit下载，也可以下载我打包的：