Koh 项目使用教程

Koh 项目使用教程

Koh The Token Stealer 项目地址: https://gitcode.com/gh_mirrors/ko/Koh

1. 项目目录结构及介绍

Koh 项目的目录结构如下：

Koh/
├── Clients/
│   └── BOF/
│       ├── KohClient.cna
│       └── build.sh
├── Koh/
│   ├── Koh.sln
│   ├── Koh.exe
│   ├── Koh.bin
│   ├── Koh.yar
│   ├── CHANGELOG.md
│   ├── LICENSE
│   └── README.md
├── Misc/
│   └── Donut/
│       └── Donut.exe
└── .gitignore

目录结构介绍

• Clients/: 包含与 Beacon Object File (BOF) 相关的客户端文件。

  • BOF/: 包含 KohClient 的 BOF 文件和构建脚本。
    • KohClient.cna: Cobalt Strike 的 Aggressor 脚本，用于控制 Koh 服务器。
    • build.sh: 用于在 Linux 上使用 Mingw 编译 BOF 文件的脚本。

• Koh/: 包含 Koh 项目的主要文件。

  • Koh.sln: Visual Studio 解决方案文件。
  • Koh.exe: Koh 的可执行文件。
  • Koh.bin: 使用 Donut 生成的 PIC (Position Independent Code) 文件。
  • Koh.yar: YARA 规则文件。
  • CHANGELOG.md: 项目更新日志。
  • LICENSE: 项目许可证文件。
  • README.md: 项目介绍和使用说明。

• Misc/: 包含与项目相关的其他工具和文件。

  • Donut/: 包含 Donut 工具，用于生成 PIC 文件。
    • Donut.exe: Donut 可执行文件。

• .gitignore: Git 忽略文件，指定哪些文件和目录不需要被版本控制。

2. 项目启动文件介绍

Koh 项目的主要启动文件是 Koh.exe，它是一个 C# 可执行文件，用于捕获用户凭证材料。启动文件的主要功能包括：

• 列出日志会话: 列出当前系统的非网络日志会话。
• 监控日志会话: 监控并列出新的或唯一的非网络日志会话。
• 捕获日志会话: 捕获每个新日志会话的唯一令牌。

启动命令示例

# 列出日志会话
Koh.exe list

# 监控日志会话
Koh.exe monitor

# 捕获日志会话
Koh.exe capture

3. 项目配置文件介绍

Koh 项目没有传统的配置文件，但可以通过命令行参数进行配置。主要的配置选项包括：

• GroupSID 过滤: 可以通过命令行指定 GroupSID，只捕获包含特定 GroupSID 的日志会话。

配置示例

# 只捕获包含特定 GroupSID 的日志会话
Koh.exe capture S-1-5-21-937929760-3187473010-80948926-512

通过以上配置，Koh 将只捕获包含指定 GroupSID 的日志会话，从而减少不必要的令牌捕获。

---

以上是 Koh 项目的使用教程，涵盖了项目的目录结构、启动文件和配置文件的介绍。希望这些信息能帮助你更好地理解和使用 Koh 项目。

Koh The Token Stealer 项目地址: https://gitcode.com/gh_mirrors/ko/Koh