免杀-常用工具

在内网渗透中，我们也会使用一些工具帮助我们更好的拿到权限，为了避免这些工具被杀毒软件查杀，我们会想尽办法去改造工具，下面着重给大家去分享 下。

msf是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试、 shellcode 编写和漏洞研究提供了一个可靠平台。其中攻击载荷模块(Payload) ， 在红队中是个香饽饽，使用这个模块生成的后门，不仅支持多种平台，而且 Metasploit 还有编码器模块(Encoders)，生成后门前，对其进行编码转换，可以混 淆绕过一部分杀毒软件。

这里使用工具Dev-Cpp 5.11 TDM-GCC 4.9.2 Setup 下载地址 https://sourceforge.net/projects/orwelldevcpp/metasploit源码下载：metasploit-loader/master/src/main.c从工具Dec-Cpp选择：文件->新建项目->consoleApplication->c 项目

为了避免编译的时候出现问题，需要添加windows.h

去除特征识别，可以把这四处的数字可以改为其他数字

改完成后，进入msf控制台设置好攻击载荷，执行之后成功上线，反弹shell

最简单的也是可以成功绕过360杀毒软件

由于mimikatz的使用说明网上资料很多，这里就不多加介绍了，随着这两年hw行动越来越多，企事业单位也都开始注重内网安全，有预算的会上全套的终端安全、企业版杀软或者EDR，就算没有预算的也会装个360全家桶或者主机卫士之类的，这也导致很多时候你的mimikatz可能都没法拷贝过去或者没有加载执行，拿了台服务器却横向移不动就尴尬了。因为这款工具特别出名所以被查杀的机率很大，我们可以通过 github 上的开源代码对其进行源码免杀从而 bypass 反病毒软件。Mimikatz 源代码下载 https://github.com/gentilkiwi/mimikatz下载完源码后，可以将mimikatz关键词用其他关键字代替，比如这用shenghuo

将项目中的所有文件的注释给去掉，除此之外呢还需要替换mimikatz原图标文件

选择“在文件资源管理器中打开文件夹”后，选择自己安装的平台工具集的版本，重新生成，保证程序的正常运行

生成完成，重新打开改造后的mimikatz工具

测试一波，发现也是可以过360杀毒、深信服EDR、瑞星等等

PrintSpoofer目前作为最流行的提权工具之一，也是作为杀软查杀的主要目标。源码下载地址：https://github.com/itm4n/PrintSpoofer同样全文替换文件内容为shenghuo并且将原有的帮助文档全部删除或者用其他关键词替换，重新导入图标打包生成。

运行之后发现可以成功绕过360杀毒软件等~~