12、突破防线：Mimikatz绕过防御与密码获取全攻略

突破防线：Mimikatz绕过防御与密码获取全攻略

1. 定位Defender警报触发点

为了找出触发Defender警报的原因，我们可以使用xdbg64（https://x64dbg.com/）等调试器。调试器能帮助我们检查CPU执行的每条指令，从而定位触发Defender的代码。
为了加快定位问题的过程，我们需要多次触发Defender，同时要禁用Defender删除Mimikatz的功能。具体操作如下：
- 将Mimikatz可执行文件放入另一台计算机托管的共享文件夹。
- 在实验机器上挂载该共享文件夹，且只赋予读取权限。这样，即使是本地计算机的最高权限管理员，也无法更改远程文件夹的内容，因为权限受远程计算机限制。

之后，我们使用标准的“文件” -> “打开”菜单命令将Mimikatz加载到调试器中，让其正常运行。虽然这种简单的内存执行方式仍会触发Defender警报，但至少我们能看到弹出的警报，这说明当前场景与使用Invoke - Mimikatz.ps1进行反射加载有足够的相似性，值得进一步调查。

接着，我们在调试器中重启Mimikatz（“调试” -> “重启”），并使用F8键逐行执行指令，逐步定位与Defender警报对应的代码区域。经过多次尝试，我们发现当CPU执行到图10 - 2所示的代码区域时，Defender就会发出警报。

分析该代码区域可知，Mimikatz启动时显示的欢迎信息字符串很可能是触发Defender的原因，这些字符串可能被Defender存储为触发规则。此外，Mimikatz开始加载模块和命令（如sekurlsa、logonpasswords等）的部分也会触发Defender。实际上