Mimikatz源码免杀技术详解<\/h1>

一、环境准备<\/h2>

1.1 测试环境<\/h3>

操作系统：Windows 10<\/li>

杀毒软件：

火绒<\/li>
360安全卫士<\/li>

360杀毒<\/li> <\/ul> <\/li> <\/ul>

1.2 开发环境<\/h3>

Visual Studio<\/li>

Mimikatz源码（需从官方GitHub获取）<\/li> <\/ul>

二、Visual Studio基础配置<\/h2>

平台工具集设置<\/strong>：<\/p>

右键mimikatz项目 → 属性 → 设置平台工具集<\/li> <\/ul> <\/li>

运行库配置<\/strong>：<\/p>

C\/C++ → 代码生成 → 运行库 → 选择"多线程(\/MT)"<\/li> <\/ul> <\/li>

警告设置<\/strong>：<\/p>

C\/C++ → 常规 → 将警告视为错误 → 选择"否"<\/li> <\/ul> <\/li>

解决方案配置<\/strong>：<\/p>

解决方案 → 属性 → 配置 → 生成x64版本mimikatz<\/li> <\/ul> <\/li> <\/ol>
三、基础特征修改<\/h2>
3.1 版本信息修改<\/h3>

修改mimilove.rc<\/code>文件中的版本信息<\/li>
重新生成解决方案<\/li> <\/ol> 3.2 字符串替换（区分大小写）<\/h3> 查找范围：整个解决方案<\/li> 替换内容： gentilkiwi.com<\/code> → google.com<\/code><\/li> creativecommons.org<\/code> → google.com<\/code><\/li> mimilove<\/code> → mamalove<\/code><\/li> <\/ul> <\/li> <\/ul> 3.3 作者信息修改（不区分大小写）<\/h3> benjamin<\/code> → hahaha<\/code><\/li> gentilkiwi<\/code> → hahaha<\/code><\/li> <\/ul> 3.4 图标替换<\/h3> 替换32×32像素的ICO图标文件<\/li> <\/ul> 四、进阶免杀技术<\/h2> 4.1 加壳处理<\/h3> 尝试使用UPX加壳（但实际测试中可能导致被杀）<\/li> 注意：加壳可能反而增加检测风险<\/li> <\/ul> 4.2 资源修改<\/h3> 使用Resource Hacker工具<\/li> 删除界面风格相关资源<\/li> 确保之前修改的ICO和版本信息已生效<\/li> <\/ol> 4.3 特征码修改<\/h3> 使用virtest5.0工具定位特征码<\/li> 将特征字节修改为00 注意：修改sekurlsa::logonpasswords<\/code>相关特征可能导致功能失效<\/li> <\/ul> <\/li> 尝试将00改为01或02进行测试<\/li> <\/ol> 4.4 关键字符串混淆<\/h3> 修改lsass.exe相关代码：<\/li> <\/ul> wchar_t a[10<\/span>] =<\/span> L<\/span>"lsa"<\/span>; <\/span><\/span>wchar_t b[10<\/span>] =<\/span> L<\/span>"ss.exe"<\/span>; <\/span><\/span>wcscat(a, b); <\/span><\/span>if<\/span>(kull_m_process_getProcessIdForName(a, &<\/span>processId)) <\/span><\/span><\/code><\/pre>五、免杀效果评估<\/h2> 5.1 静态检测<\/h3> 360：秒杀（基础修改后）<\/li> 火绒：秒杀（基础修改后）<\/li> <\/ul> 5.2 动态检测<\/h3> 360：不开启自动上传：可过<\/li> 开启自动上传：约1分钟后被云端查杀<\/li> <\/ul> <\/li> 火绒：基础修改后仍可检测<\/li> <\/ul> 5.3 最终效果<\/h3> 未开启自动上传：静态：360和火绒均可过<\/li> 动态：360和火绒均可过<\/li> <\/ul> <\/li> 开启自动上传： 360会被杀<\/li> 火绒情况不明<\/li> <\/ul> <\/li> <\/ul> 六、注意事项<\/h2> 360的查杀特点：<\/p> 本地不主动查杀<\/li> 主要依赖联网上传样本后的云端查杀<\/li> 上传和云端响应之间存在时间窗口<\/li> <\/ul> <\/li> 火绒与360的区别：<\/p> 火绒可能采用不同的检测机制<\/li> 需要针对性的特征修改<\/li> <\/ul> <\/li> 功能完整性：<\/p> 某些特征修改可能导致功能失效（如sekurlsa::logonpasswords<\/code>）<\/li> 每次修改后需测试功能是否正常<\/li> <\/ul> <\/li> <\/ol> 七、操作建议<\/h2> 分步测试：<\/p> 每进行一项修改后都重新生成并测试<\/li> 确保功能正常后再进行下一项修改<\/li> <\/ul> <\/li> 多杀软测试：<\/p> 不同杀毒软件采用不同检测机制<\/li> 需要针对目标环境进行针对性免杀<\/li> <\/ul> <\/li> 及时更新：<\/p> 杀毒软件特征库不断更新<\/li> 免杀方法可能需要定期调整<\/li> <\/ul> <\/li> <\/ol> 通过以上系统化的修改和测试流程，可以有效提高mimikatz的免杀成功率，但需注意免杀效果的时效性和针对性。<\/p>