这是[信安成长计划]的第 6 篇文章
关注微信公众号[信安成长计划]
0x00 目录
0x01 C2Profile 分析
0x02 set userwx “true”
0x03 set userwx “false”
CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测
0x01 C2Profile 分析
因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的
很明显它还跟其他的设置项有关,这里我们重点关注一下 rwx 的设置
首先会将 text 段的结尾地址存储到 index=41 的位置
接着判断了 text 段与 rdata 段中间的空白位置够不够 256 个字节,推测会将加解密函数放在这里