### cs4.5

`可以遐想`师傅去年把cs4.5 beacon源代码公开了，当时保存了一份到本地，想着有空折腾下，写下了记录内容。

### 本地环境

本次二开我的环境如下：

*   • windows10
    
*   • Visual Studio 2012
    
*   • IntelliJ IDEA 2023.3.2

### cobaltstrike客户端

`cobaltstrike.jar`的java层反编译，网上很多文章，我这里就讲下我主要修改的地方。

![图片](/media/202605/a8add15c40204c8c8f24003e0564663a8578.png)

#### 去除暗桩

有很多处注释或者修改就行

![图片](/media/202605/7325719a620d4dc184e99b4d2f574a719906.png)

#### 修改默认密钥

修改为多字节密钥

![图片](/media/202605/9e1215be24244da4baa9a7974909f6dc2382.png)

不修改的话，例如微步沙箱可以通过默认密钥获取你的beacon信息，还有网络上各种bot扫描cs配置，给你打上标签，假上线。

![图片](/media/202605/c5390222d5d74757af6b00cbefa57a5a3864.png)

### Beacon修改

公开的源码解压到目录下

![图片](/media/202605/e7bb928e5a3e45c8af01fefc9ce54cbb9921.png)

#### 编译依赖

使用vs2012编译好如下依赖，在目录下新建lib文件夹

*   • LibTomMath
    
*   • LibTomCrypt

![图片](/media/202605/3a0abb10fbdf4eccaa6d0fe5dcda205c9402.png)

![图片](/media/202605/1c14a7caf6f34da694ad94b6199f95181921.png)

然后选择beacon，成功编译beacon.x64.dll

![图片](/media/202605/6b54cd4cbdfa4ddc967af630185134557785.png)

#### 去除暗桩

这两个方法的返回值都要改为`FALSE`，因为会用 teamserver 端发过来的水印值进行校验，不符合就退出

![图片](/media/202605/566b60bd14ed4e5bbda3d8a58723dc3e8235.png)

#### 修改默认密钥

![图片](/media/202605/0ba2373a2f944a26b7209aaf9088f6ea3387.png)

#### 修改bof默认slot槽位

默认为32修改为1024

![图片](/media/202605/73dcc800108e4f8598a52cef10f2d36c4512.png)

#### 修改默认Sleepmask

修改原先加密逻辑

![图片](/media/202605/47c80b4c95f841b592f6ace01fed0e873496.png)

#### 替换dll

编译好的dll放在Decode解密文件下，使用命令进行加密

![图片](/media/202605/e5f8a31dd6b546298f780438ba25bd3d3836.png)

到Encode加密文件夹下复制dll文件

![图片](/media/202605/3798f4e0ad144190a19d5e018da9a6817516.png)

然后通过压缩包或者idea直接替换dll文件到cobaltstrike文件里

![图片](/media/202605/90ef73ad7ae04fa8a54c72972635ccfe9613.png)

#### 上线测试

因为修改原因，只支持导出Raw格式上线

![图片](/media/202605/b5eedb7b835149d3b0500a86f9c348748881.png)

使用导出的.bin文件，生成免杀马

![图片](/media/202605/ceae00b743b1425b9d261ce766225ac21662.png)

正常上线

![图片](/media/202605/9e2b5754f4a64e6ca903fef9068677c94676.png)

### 内存扫描

火绒内存保护，扫描灵敏度设置为高

![图片](/media/202605/5a5bff0a1d5649f6bb434346aba2e3614004.png)

点击文件上线，快速扫描进程

![图片](/media/202605/8f679537a0af42888111623d3e3f70b46361.png)

未发现风险，正常上线

![图片](/media/202605/958e5136c836470195bde7eaa95b507c1786.png)

![图片](/media/202605/1ea618be9aac4d9782520e2437c546cf2202.png)

eset扫描未查杀

![图片](/media/202605/f4f3909f25d243b5bb427835fe651f025948.png)

![图片](/media/202605/d6f23260b1114dd0a30902a2e9d9ca804401.png)

Bitdefender使用白影2.0工具挖掘白加黑稳定上线

![图片](/media/202605/1bc59fb0c1944e169b1c5d69c1fd58451084.png)

![图片](/media/202605/778a7ce37c6f42269d275a5650a263b69284.png)

![图片](/media/202605/b0dd68ccac074177b7fc18d054fcff1a6744.png)

卡巴斯基内存扫描寄了会查杀，没改彻底有兴趣的可以折腾下，完整源代码加入纷传获取

![图片](/media/202605/5b176cca47a6493785d78322260e47a77990.png)

CS4.5二开过HR及内扫