Cobalt Strike
CtrlK
  • 前言
  • 目录
  • Cobalt Strike简介
  • Cobalt Strike基本使用
    • 界面功能介绍
    • CS4.0功能演示
    • 监听器(Listener)
  • Cobalt Strike Beacon命令
  • Cobalt Strike脚本使用
  • Cobalt Strike脚本编写
    • aggressor-script文档翻译
    • ArtifactPayloadGenerator.cna脚本bug修复
    • COM劫持利用脚本编写
    • TODO
  • Cobalt Strike扩展
    • Malleable C2
    • External C2
    • CS证书相关
    • CS Beacon和监听器
    • 转发重定向
    • CDN代理转发
    • CDN与转发器
    • CS部分功能启用
    • CS检测工具CobaltStrikeScan绕过
    • 联动Core impact
    • 一些注意事项和Tips
  • Cobalt Strike原理介绍
    • 介绍
    • Payload生成分析
    • Payload生成分析后续补充
    • Stager Payload原理分析
    • Beacon加载执行过程
    • 进程参数欺骗原理
    • CS登录通信分析
    • CS Beacon通信分析
    • 内存加载分析(cs模块)
    • Beacon Object File(BOF实现原理)
    • Beacon dll Hollowing
    • Beacon动态内存加密
    • 第三方客户端实现
      • Beacon完整流程分析
      • TODO
      • TODO
      • Beacon跨平台移植
    • TODO
  • Cobalt Strike攻击防御
    • 关于BeaconEye里的一点小bug
    • 防御Demon
  • 说明
由 GitBook 提供支持
在本页

这有帮助吗?

  1. Cobalt Strike原理介绍

Beacon dll Hollowing

DLL Hollowing(DLL镂空)这个东西其实和Process Hollowing基本一样所以没太多可写的,简单写两句概括一下。

首先调用Win API load一个系统的dll然后覆盖.text段内存

github:https://github.com/forrest-orr/phantom-dll-hollower-poc(可以自己看看这个代码)

上一页Beacon Object File(BOF实现原理)下一页Beacon动态内存加密

最后更新于4年前

这有帮助吗?