Mimikatz的18种免杀姿势及防御策略(9)

下载

本地加载

远程加载

放行后

virustotal.com上mimikatz.xsl查杀率为7/60。

参考远控免杀专题(37)-白名单Mshta.exe执行payload(VT免杀率26-58)：https://mp.weixin.qq.com/s/oBr-syv2ef5IjeGFrs7sHg

下载

执行

360拦截依旧

virustotal.com上mimikatz.sct查杀率为23/59。

ReflectivePEInjection是powersploit里的比较有名的一个pe加载脚本，很好使。

下载

执行

这个用什么来衡量免杀都不太合适，我就用Invoke-ReflectivePEInjection.ps1吧。在virustotal.com上Invoke-ReflectivePEInjection.ps1查杀率为32/57。

windows有多款官方工具可以导出lsass进程的内存数据，比如procdump.exe、SqlDumper.exe、Out-Minidump.ps1等，我这里以procdump.exe为例进行演示。

procdump.exe工具是微软出品的工具，具有一定免杀效果。可以利用procdump把lsass进程的内存文件导出本地，再在本地利用mimikatz读取密码。

procdump.exe下载https://github.com/TideSec/BypassAntiVirus/tree/master/tools/mimikatz/procdump.exe

在目标机器执行下面命令，导出lsass.dmp

再使用mimikatz读取密码

需要注意的是从目标机器导出的lsass.dmp需要在相同系统下运行。