文件名称:CobaltStrikeScan:扫描文件或进程内存以查找CobaltStrike信标并解析其配置
文件大小:4.91MB
文件格式:ZIP
更新时间:2024-04-19 06:20:06
C#
钴弹扫描 扫描文件或处理内存以查找Cobalt Strike信标,并解析其配置。 CobaltStrikeScan扫描Windows进程内存以查找DLL注入(经典或反射注入)的证据,并在目标进程的内存上执行YARA扫描以获取Cobalt Strike v3和v4信标签名。 另外,CobaltStrikeScan可以对绝对路径或相对路径提供的文件执行相同的YARA扫描,作为命令行参数。 如果在文件或进程中检测到Cobalt Strike信标,则将解析该信标的配置并将其显示在控制台中。 克隆此仓库 CobaltStrikeScan包含作为子模块。 确保在克隆CobaltStrikeScan时使用git clone --recursive https://github.com/Apr4h/CobaltStrikeScan.git ,以便也下载/克隆子模块的代码。 建立解决方案 Costur