Перед этим мы рассказали, как классифицировать встроенные команды, а также продемонстрировали работу BOF, чтобы избежать обнаружения и уничтожения. Однако эта операция, несомненно, неверна. Причина в том, что существует множество встроенных команд, и для этого используется BOF. каждая операция непреднамеренно, это очень проблема, чтобы решить эту проблему, в официальную версию 4.5 добавлена ​​технология внедрения процессов, которая позволяет пользователям определять свои собственные, которые выпущены в официальном арсенале арсенала-комплекта. При загрузке большинство встроенных технологий кобальтового удара можно модифицировать.

Официальное внедрение процесса

Скомпилировать плагин

В части арсеналаprocess_inject мы используем kali для компиляции и загрузки в cobaltstrike. Эти два хука охватывают большинство встроенных команд.

Ссылки: Контроль процесса впрыска Поведение команд маяка и соображения OPSEC

Тестовый плагин

Загрузка плагина ProcessInject,Вы можете увидеть из консолиProcess Inject Kit Loaded

Мы выбираем команду,руководитьскриншотдействовать,Передняя и задняя часть соответствуют друг другуfork &fun注入和показать инъекцию：

[beacon] -> Explore -> Screenshot
[Process Browser] -> Screenshot (Yes)

Есть только один вид,мы нашли,Использование плагина Официальное внедрение процесса все еще проверяется.,Нам приходится использовать другие способы реализации хуков.

Внедрение процессов с помощью системных вызовов

использоватьврата в адвыполнитьКосвенный вызов системы,использоватьx64 MinGWруководитькомпилировать：

x86_64-w64-mingw32-gcc -c process_inject_spawn.c -o process_inject_spawn.x64.o -masm=intel
x86_64-w64-mingw32-gcc -c process_inject_explicit.c -o process_inject_explicit.x64.o -masm=intel

Замените исходный скомпилированный файл, перезагрузите плагин и снова сделайте снимок экрана. Мы обнаружили, что мониторинг Защитника успешно обошёлся: