超级会员免费看
本文深入探讨了Cobalt Strike (CS) shellcode的逆向分析过程,从第一阶段的shellcode加载、模块查找、函数地址获取,到第二阶段的动态解密、PE定位、API获取和内存修复。详细讲解了每个阶段的关键步骤和技术,揭示了CS如何在内存中加载并执行远控文件。
CS 逆向初探
首先,用裸ip直接生成一个cs的shellcode,用的是分离式的。
然后生成的是x86的,也就是32位的c语言的shellcode。
生成代码其实就是一个大小千字节左右的,无符号字符数组,把这段16进制数放到010editor(一个常用的编辑工具)里查看,除了执行代码外,还有一部分写死的数据,比如User-Agent,IP或域名等。
就把这段代码加载到内存去执行,来进一步分析,加载的代码如下:
unsigned char buf[] = "\x
订阅专栏 解锁全文
扫一扫
评论 1
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
