干貨 | 源碼免殺之Mimikatz

1.Mimikatz源碼下載

首先在github下載mimikatz源碼

https://github.com/gentilkiwi/mimikatz

使用vs2017打開工程

2.替換mimikatz字符串

在程序沒有運行的情況下，一般都是通過特征碼判斷的。而且Mimikatz這些知名工具的內容像mimikatz、作者信息之類的字符串就很容易被做為特征碼識別。
通用閱讀源碼大體可以了解存在比較明顯的關鍵字：mimikatz、MIMIKATZ以及mimikatz/mimikatz/pleasesubscribe.rc文件的一些內容。可以利用Visual Studio的替換功能實現關鍵字的處理。操作如下：
編輯 -> 查找和替換 -> 在文件中替換 -> 區分大小寫
mimikatz替換為wooyun
MIMIKATZ替換為WOOYUN
將mimikatz.xx文件重命名為wooyun.xx（“xx“代表任意后綴）
編輯 mimikatz/mimikatz/wooyun.rc，將一些名稱進行修改，還有種類編輯器注釋作者名稱。

按ctrl+shift+f替換所有文件中的mimikatz字符串

3.解決方案配置

首先勾選release

然后右鍵mimikatz項目屬性，在常規中MFC的使用中選擇在靜態庫使用MFC

在c/c++中運行庫選擇多線程（/MT）

4.解決報錯

點擊生成會發現兩處報錯都是找不到wooyun.h

雙擊這一行，會來到報錯代碼處

將wooyun重新改為mimikatz

還有一處一樣操作

重新生成，依然是找不到文件錯誤

將wooyun.ico改為mimikatz.ico,重新生成

5.刪除默認的靜態資源

使用360查殺發現已經免殺

但是發現打開mimikatz時會被360動態攔截

使用Restorator 2018編輯靜態資源

刪除圖標和界面風格

打開mimikatz發現已經繞過動態查殺