# 一些注意事项和Tips

写一些注意事项和Tips吧其实这个部分可写可不写基本上都是一些大家熟知的玩意

1. 首先是默认profile不要使用，因为这个东西具有流量特征，而且配置的也不好
2. 关于cobaltstrike.store默认证书这个也不要使用，你可以使用假证书，但是你不能直接使用`keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"` 这条命令生成一个证书然后直接使用
3. 默认端口号这个不用说该改要改
4. 分阶段payload上线这个不要用直接禁用，其实说这个不仅是因为与之前的checksum8算法url特征有关，更主要是因为大部分人你不是漏洞利用你用段小shellcode去加载一个大shellcode（Beacon.dll）完全没有这个必要反而这个特征更为明显，推荐的方法是视情况导出Beacon后自行托管或内嵌这个看个人
5. 关于.cobaltstrike.beacon\_keys文件，这个文件与CS流量加密密切相关，最近也有一篇[文章](https://blog.nviso.eu/2021/10/27/cobalt-strike-using-known-private-keys-to-decrypt-traffic-part-2/)写了用这个解密，我之前在原理介绍篇中也写到过解密相关的内容这个其实不用担心，CS流量被解密是不太可能的。因为CS是RSA非对称算法交换AES密钥只要你的.cobaltstrike.beacon\_keys文件没有被人拿到那就解不了，同时我所发的CS里是一律不携带.cobaltstrike.beacon\_keys文件的。
6. 基本上对于所有的流量特征问题你都可以通过自行配置profile文件解决

反正说了这么多重点就在禁用分阶段，profile文件，设施搭建，基本上看到所有捕获CS流量都是以默认配置为标准或者以sleep定时心跳包为标准这些其实都不是问题

关于恶意上线这个没啥好说的你都被人发现那就证明你该撤了，注意保证自己不要被人发现