BetterSafetyKatz：动态加载Mimikatz的二进制，绕过安全检测

BetterSafetyKatz：动态加载Mimikatz的二进制，绕过安全检测

BetterSafetyKatz Fork of SafetyKatz that dynamically fetches the latest pre-compiled release of Mimikatz directly from gentilkiwi GitHub repo, runtime patches signatures and uses SharpSploit DInvoke to PE-Load into memory. 项目地址: https://gitcode.com/gh_mirrors/be/BetterSafetyKatz

在网络安全领域，安全工具的绕过能力一直是研究的热点。本文将为大家介绍一个开源项目——BetterSafetyKatz，它能够动态地加载Mimikatz，并有效绕过安全防护软件的检测。

项目介绍

BetterSafetyKatz是一个基于SafetyKatz的分支项目，其主要功能是从GitHub仓库动态获取最新编译的Mimikatz二进制文件，并在内存中进行签名混淆，最后使用SharpSploit的DInvoke技术加载到内存中。这种方法可以有效地绕过Windows Defender等安全软件的检测。

项目技术分析

动态获取Mimikatz

BetterSafetyKatz首先获取Mimikatz最新版本的URL，然后从该URL动态下载ZIP包。这一步骤避免了在本地存储可能被安全软件识别的静态文件。

内存中混淆签名

下载的Mimikatz二进制在内存中解压缩后，会将原有的字符串和签名替换为随机字符串。这一步的目的是避免安全软件通过签名检测到Mimikatz的存在。

使用DInvoke加载

混淆后的二进制文件使用SharpSploit的DInvoke技术加载到内存中。DInvoke是一种内存加载技术，可以有效绕过API钩子，从而避免被安全软件检测。

项目及技术应用场景

BetterSafetyKatz可以应用于以下场景：

1. 安全测试：在渗透测试过程中，安全工程师可以使用BetterSafetyKatz来检测目标系统的安全防护能力。

2. 恶意软件分析：安全研究人员可以使用BetterSafetyKatz来分析恶意软件的绕过技术。

3. 教育培训：网络安全相关的教育培训机构可以使用BetterSafetyKatz来演示和教授绕过安全防护的方法。

项目特点

动态加载

与传统的直接执行Mimikatz二进制文件相比，BetterSafetyKatz采用了动态加载的方式，有效减少了被安全软件识别的风险。

内存混淆

通过在内存中对Mimikatz二进制进行混淆，进一步降低了被安全软件检测的概率。

灵活配置

用户可以选择从GitHub仓库动态加载，也可以指定本地或远程路径加载。

开源协议

BetterSafetyKatz采用BSD 3-Clause协议开源，允许用户在遵守协议的前提下自由使用和修改。

总结

BetterSafetyKatz是一款功能强大的安全工具，它通过动态加载、内存混淆以及灵活配置等方式，有效地绕过了安全防护软件的检测。对于网络安全工程师、安全研究人员以及教育培训机构来说，它都是一个非常有价值的工具。如果你对这些内容感兴趣，不妨尝试一下BetterSafetyKatz，看看它如何在你手中发挥作用。

注意：本文旨在介绍网络安全相关技术，任何使用本文所述技术进行非法行为的行为都是不被支持的。在使用网络安全工具时，请确保遵守相关法律法规，并在合法范围内进行操作。

BetterSafetyKatz Fork of SafetyKatz that dynamically fetches the latest pre-compiled release of Mimikatz directly from gentilkiwi GitHub repo, runtime patches signatures and uses SharpSploit DInvoke to PE-Load into memory. 项目地址: https://gitcode.com/gh_mirrors/be/BetterSafetyKatz