# 一些注意事项和Tips

写一些注意事项和Tips吧其实这个部分可写可不写基本上都是一些大家熟知的玩意

1. 首先是默认profile不要使用，因为这个东西具有流量特征，而且配置的也不好
2. 关于cobaltstrike.store默认证书这个也不要使用，你可以使用假证书，但是你不能直接使用`keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"` 这条命令生成一个证书然后直接使用
3. 默认端口号这个不用说该改要改
4. 分阶段payload上线这个不要用直接禁用，其实说这个不仅是因为与之前的checksum8算法url特征有关，更主要是因为大部分人你不是漏洞利用你用段小shellcode去加载一个大shellcode（Beacon.dll）完全没有这个必要反而这个特征更为明显，推荐的方法是视情况导出Beacon后自行托管或内嵌这个看个人
5. 关于.cobaltstrike.beacon\_keys文件，这个文件与CS流量加密密切相关，最近也有一篇[文章](https://blog.nviso.eu/2021/10/27/cobalt-strike-using-known-private-keys-to-decrypt-traffic-part-2/)写了用这个解密，我之前在原理介绍篇中也写到过解密相关的内容这个其实不用担心，CS流量被解密是不太可能的。因为CS是RSA非对称算法交换AES密钥只要你的.cobaltstrike.beacon\_keys文件没有被人拿到那就解不了，同时我所发的CS里是一律不携带.cobaltstrike.beacon\_keys文件的。
6. 基本上对于所有的流量特征问题你都可以通过自行配置profile文件解决

反正说了这么多重点就在禁用分阶段，profile文件，设施搭建，基本上看到所有捕获CS流量都是以默认配置为标准或者以sleep定时心跳包为标准这些其实都不是问题

关于恶意上线这个没啥好说的你都被人发现那就证明你该撤了，注意保证自己不要被人发现


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://wbglil.gitbook.io/cobalt-strike/cobalt-strikekuo-zhan/yi-xie-zhu-yi-shi-xiang-he-tips.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.