CobaltWhispers 项目使用教程
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地点: https://gitcode.com/gh_mirrors/co/CobaltWhispers
1. 项目目录布局及介绍
CobaltWhispers 项目的目录布局如下:
- CobaltWhispers/
- ├── src/
- │ ├── CobaltWhispers.cna
- │ ├── LICENSE
- │ └── README.md
- └── ...
- src/: 包含项目的主要源代码文件。
- CobaltWhispers.cna: 这是项目的主要启动文件,包含了 Aggressor 脚本代码。
- LICENSE: 项目的许可证文件,通常包含 MIT 许可证。
- README.md: 项目的说明文件,提供了项目的概述、使用方法和编译说明。
2. 项目的启动文件介绍
CobaltWhispers.cna
CobaltWhispers.cna 是 CobaltWhispers 项目的主要启动文件,它是一个 Aggressor 脚本,用于在 Cobalt Strike 中实验各种操作,如历程注入、持久化等。该脚本使用了 Beacon Object Files (BOF) 和直接体系调用(SysWhispers2)来绕过 EDR/AV。
主要功能
- 历程注入: 支持多种历程注入技能,如 CreateRemoteThread、QueueUserAPC、MapViewOfSection 等。
- 持久化: 提供了多种持久化方法,如通过注册表键值实现持久化。
- 绕过 EDR/AV: 使用 SysWhispers2 和 InlineWhispers2 实现直接体系调用,绕过 EDR/AV 的检测。
3. 项目的配置文件介绍
CobaltWhispers 项目没有明确的配置文件,但其功能和行为可以通过 CobaltWhispers.cna 脚本中的参数进行配置。以下是一些常见的配置参数:
历程注入参数
- Parent process: 指定要设置为父历程的历程名称。
- Executable location: 指定用于启动新历程的可实验文件的完整路径。
- Process PID: 指定远程历程的历程 ID。
- Payload location: 指定载荷在磁盘上的位置。
- Payload b64: 指定 Base64 编码的原始 shellcode。
- Listener: 指定用于生成载荷的监听器。
持久化参数
- Key name: 指定注册表键的名称。
- Command: 指定当注册表键被使用时要实验的命令。
- Registry key: 指定注册表键的创建位置。
- Hidden: 指定是否在键名前添加空字节以隐藏键。
- Cleanup: 指定是否删除创建的注册表键。
通过这些参数,用户可以根据详细需求配置 CobaltWhispers 的行为。
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地点: https://gitcode.com/gh_mirrors/co/CobaltWhispers
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
