论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[1925] 2020-08-17_关于CobaltStrike检测方法与去特征的思考
文档创建者:
s7ckTeam
浏览次数:
1
最后更新:
2025-01-16
Web安全
1 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-08-17_关于CobaltStrike检测方法与去特征的思考
关
于
C
o
b
a
l
t
S
t
r
i
k
e
检
测
方
法
与
去
特
征
的
思
考
原
创
毁
三
观
大
人
D
e
a
d
E
y
e
安
全
团
队
2
0
2
0
-
0
8
-
1
7
作
者
:
毁
三
观
大
人
D
m
校
对
:
F
l
a
m
e
D
e
a
d
E
y
e
安
全
实
验
室
出
品
,
未
经
授
权
,
禁
止
洗
搞
,
如
有
洗
搞
,
肯
定
搞
你
人
云
亦
云
人
云
亦
云
关
于
检
测
C
o
b
a
l
t
S
t
r
i
k
e
的
方
法
有
很
多
,
而
网
上
有
一
些
文
章
会
告
诉
大
家
如
何
修
改
所
谓
的
特
征
值
,
但
是
这
些
方
法
实
际
上
存
在
一
定
的
误
导
和
盲
区
一
般
发
现
C
o
b
a
l
t
S
t
r
i
k
e
服
务
器
的
途
径
有
以
下
几
种
(
简
单
分
类
,
不
准
确
,
勿
喷
)
1
.
样
本
分
析
2
.
中
马
回
连
3
.
黑
客
连
主
控
端
4
.
扫
描
发
现
这
里
被
使
用
的
比
较
多
的
就
是
扫
描
发
现
,
同
时
网
上
一
些
文
章
提
到
C
o
b
a
l
t
S
t
r
i
k
e
默
认
的
S
S
L
/
T
L
S
证
书
是
固
定
的
,
所
以
一
般
都
是
使
用
这
个
证
书
作
为
特
征
值
来
发
现
C
o
b
a
l
t
S
t
r
i
k
e
服
务
器
所
以
,
今
天
我
们
主
要
讨
论
这
个
默
认
S
S
L
/
T
L
S
证
书
的
问
题
证
书
修
改
证
书
修
改
现
在
让
我
们
提
取
这
个
证
书
的
相
关
信
息
根
据
网
上
一
些
文
章
的
修
改
方
法
,
我
们
需
要
使
用
k
e
y
t
o
o
l
修
改
证
书
信
息
,
方
法
如
下
默
认
的
证
书
具
有
很
明
显
的
特
征
,
例
如
我
们
拿
这
个
信
息
去
检
索
就
可
以
发
现
许
多
C
o
b
a
l
t
S
t
r
i
k
e
服
务
器
但
是
这
里
忽
略
了
一
个
问
题
,
你
到
底
修
改
的
是
什
么
证
书
,
是
主
机
上
线
的
时
候
使
用
的
吗
?
这
个
证
书
是
t
e
a
m
s
e
r
v
e
r
主
控
端
使
用
的
加
密
证
书
(
默
认
端
口
5
0
0
5
0
)
修
改
这
个
证
书
以
后
t
e
a
m
s
e
r
v
e
r
服
务
器
主
控
端
的
特
征
是
没
了
之
前
有
一
些
人
h
u
n
t
i
n
g
C
2
服
务
器
使
用
的
就
是
这
个
规
则
例
如
在
f
o
f
a
.
s
o
中
,
就
有
一
条
规
则
叫
O
=
c
o
b
a
l
t
s
t
r
i
k
e
,
O
U
=
A
d
v
a
n
c
e
d
P
e
n
T
e
s
t
i
n
g
,
C
N
=
M
a
j
o
r
C
o
b
a
l
t
S
t
r
i
k
e
p
r
o
t
o
c
o
l
=
=
"
c
o
b
a
l
t
s
t
r
i
k
e
"
当
然
,
我
们
也
可
以
使
用
直
接
搜
索
c
e
r
t
=
"
M
a
j
o
r
C
o
b
a
l
t
S
t
r
i
k
e
"
这
里
需
要
注
意
,
使
用
搜
索
会
发
现
有
一
些
主
机
并
没
有
被
标
注
为
C
o
b
a
l
t
S
t
r
i
k
e
服
务
器
(
存
在
漏
网
之
鱼
当
然
为
了
保
证
数
据
的
时
效
性
,
我
们
在
f
o
f
a
.
s
o
搜
索
的
时
候
最
好
加
上
c
e
r
t
=
"
M
a
j
o
r
C
o
b
a
l
t
S
t
r
i
k
e
"
a
f
t
e
r
=
"
2
0
2
0
-
0
1
-
0
1
"
重
要
的
分
割
线
!
!
!
!
注
意
!
!
!
!
但
是
!
h
t
t
p
s
上
线
使
用
的
证
书
,
并
不
是
上
边
我
们
修
改
的
那
一
个
,
并
且
这
个
证
书
也
是
默
认
的
.
.
.
证
书
信
息
如
下
图
:
如
果
想
要
修
改
这
个
证
书
,
需
要
修
改
M
a
l
l
e
a
b
l
e
C
2
p
r
o
f
i
l
e
查
看
官
方
文
档
h
t
t
p
s
:
/
/
w
w
w
.
c
o
b
a
l
t
s
t
r
i
k
e
.
c
o
m
/
h
e
l
p
-
m
a
l
l
e
a
b
l
e
-
c
2
其
中
S
e
l
f
-
s
i
g
n
e
d
C
e
r
t
i
f
i
c
a
t
e
s
w
i
t
h
S
S
L
B
e
a
c
o
n
和
V
a
l
i
d
S
S
L
C
e
r
t
i
f
i
c
a
t
e
s
w
i
t
h
S
S
L
B
e
a
c
o
n
是
用
来
修
改
h
t
t
p
s
上
线
使
用
的
证
书
的
,
S
e
l
f
-
s
i
g
n
e
d
C
e
r
t
i
f
i
c
a
t
e
s
w
i
t
h
S
S
L
B
e
a
c
o
n
根
据
字
母
意
思
理
解
,
就
是
自
己
设
定
的
自
签
名
证
书
,
还
有
如
果
使
用
了
V
a
l
i
d
S
S
L
C
e
r
t
i
f
i
c
a
t
e
s
w
i
t
h
S
S
L
B
e
a
c
o
n
,
我
们
在
之
前
通
过
k
e
y
t
o
o
l
设
置
的
证
书
也
可
以
用
的
上
,
但
是
这
里
应
该
让
我
们
使
用
的
是
真
实
的
证
书
,
不
管
是
偷
来
的
还
是
买
来
的
,
用
就
完
了
L
e
t
'
s
H
u
n
t
!
!
使
用
f
o
f
a
.
s
o
搜
索
相
关
证
书
信
息
c
e
r
t
=
"
7
3
:
6
B
:
5
E
:
D
B
:
C
F
:
C
9
:
1
9
:
1
D
:
5
B
:
D
0
:
1
F
:
8
C
:
E
3
:
A
B
:
5
6
:
3
8
:
1
8
:
9
F
:
0
2
:
4
F
"
&
&
a
f
t
e
r
=
"
2
0
2
0
-
0
1
-
0
1
"
使
用
c
e
n
s
y
s
.
i
o
搜
索
相
关
信
息
这
里
我
们
可
以
发
现
一
些
有
趣
的
现
象
,
例
如
有
些
服
务
器
的
5
0
0
5
0
端
口
也
开
了
,
t
e
a
m
s
e
r
v
e
r
主
控
端
的
证
书
确
实
也
是
修
改
了
,
这
证
明
攻
击
者
还
是
会
看
一
下
文
章
学
习
如
何
去
特
征
,
但
不
幸
的
是
只
修
改
了
一
个
4
4
3
.
h
t
t
p
s
.
t
l
s
.
c
e
r
t
i
f
i
c
a
t
e
.
p
a
r
s
e
d
.
f
i
n
g
e
r
p
r
i
n
t
_
s
h
a
2
5
6
:
8
7
f
2
0
8
5
c
3
2
b
6
a
2
c
c
7
0
9
b
3
6
5
f
5
5
8
7
3
e
2
0
7
a
9
c
a
a
1
0
b
f
f
e
c
f
2
f
d
1
6
d
3
c
f
9
d
9
4
d
3
9
0
c
仅
仅
是
扫
描
i
p
就
能
拿
到
所
有
证
书
吗
?
不
能
,
我
们
也
需
要
扫
描
域
名
,
还
有
就
是
h
t
t
p
s
也
不
一
定
只
开
在
4
4
3
端
口
上
据
我
们
了
解
,
好
多
人
搭
建
C
2
服
务
器
的
方
法
都
比
较
原
始
,
比
如
在
某
云
搭
建
C
2
服
务
器
,
不
会
使
用
s
l
b
/
e
l
b
转
发
请
求
,
不
会
使
用
s
e
c
u
r
i
t
y
g
r
o
u
p
控
制
访
问
,
不
会
使
用
一
些
高
明
的
隐
藏
C
2
的
方
法
。
并
且
烂
大
街
的
D
o
m
a
i
n
f
r
o
n
t
i
n
g
、
C
D
N
上
线
、
高
信
誉
服
务
等
等
也
不
会
使
用
,
就
是
上
线
梭
哈
一
把
刷
.
.
.
.
.
真
的
是
给
蓝
队
兄
弟
们
一
条
生
路
等
等
,
到
这
就
完
了
吗
?
检
测
加
密
流
量
检
测
加
密
流
量
如
果
这
些
信
息
都
修
改
了
我
们
该
怎
么
办
那
?
实
际
上
还
是
有
方
法
去
检
测
的
我
们
可
以
参
考
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
s
a
l
e
s
f
o
r
c
e
/
j
a
3
这
个
项
目
简
单
科
普
一
下
J
A
3
J
A
3
方
法
用
于
收
集
C
l
i
e
n
t
H
e
l
l
o
数
据
包
中
以
下
字
段
的
十
进
制
字
节
值
:
版
本
、
可
接
受
的
密
码
、
扩
展
列
表
、
椭
圆
曲
线
密
码
和
椭
圆
曲
线
密
码
格
式
。
然
后
,
它
将
这
些
值
串
联
在
一
起
,
使
用
“
,
”
来
分
隔
各
个
字
段
,
同
时
,
使
用
“
-
”
来
分
隔
各
个
字
段
中
的
各
个
值
。
这
里
相
当
于
把
支
持
的
T
L
S
扩
展
信
息
,
都
收
集
起
来
当
作
一
个
特
征
值
来
用
(
除
了
客
户
端
发
起
的
,
还
有
关
于
服
务
器
的
J
A
3
S
)
这
其
实
算
一
种
降
维
打
击
,
并
且
我
们
发
现
主
流
在
线
沙
箱
、
主
流
I
D
S
大
都
支
持
了
J
A
3
/
J
A
3
S
指
纹
检
测
因
为
本
篇
文
章
主
要
是
讨
论
C
o
b
a
l
t
S
t
r
i
k
e
默
认
证
书
的
问
题
,
所
以
在
这
里
就
不
过
多
介
绍
J
A
3
/
J
A
3
S
相
关
的
信
息
了
I
O
C
s
:
2
[
.
]
5
6
.
2
1
2
.
1
6
5
3
[
.
]
1
0
6
.
1
3
0
.
1
3
7
3
[
.
]
1
1
.
6
2
.
8
7
3
[
.
]
1
2
1
.
3
2
.
1
7
1
3
[
.
]
1
2
8
.
1
5
4
.
6
3
[
.
]
1
2
9
.
1
1
0
.
1
6
4
3
[
.
]
1
2
9
.
1
9
.
1
7
5
3
[
.
]
1
3
0
.
5
.
3
2
3
[
.
]
1
3
0
.
7
5
.
2
0
3
3
[
.
]
1
3
5
.
1
9
9
.
1
1
3
[
.
]
1
6
.
1
3
7
.
8
5
3
[
.
]
2
1
8
.
1
4
1
.
2
3
2
3
[
.
]
2
2
.
1
4
1
.
1
9
7
3
[
.
]
2
2
.
1
9
5
.
7
4
3
[
.
]
2
3
4
.
2
5
2
.
2
1
7
3
[
.
]
2
3
4
.
2
5
5
.
7
3
[
.
]
2
3
6
.
1
8
3
.
1
4
3
3
[
.
]
2
5
.
1
4
9
.
1
6
3
[
.
]
2
5
.
1
6
2
.
2
3
5
3
[
.
]
2
5
.
1
7
7
.
1
6
2
3
[
.
]
2
5
.
1
8
0
.
2
1
3
[
.
]
8
0
.
1
6
4
.
1
8
4
3
[
.
]
9
5
.
1
3
6
.
2
3
3
3
[
.
]
9
5
.
1
5
9
.
2
7
5
[
.
]
1
4
9
.
2
5
3
.
1
9
9
5
[
.
]
1
8
0
.
9
9
.
6
5
5
[
.
]
1
8
8
.
2
0
6
.
2
1
9
5
[
.
]
3
9
.
2
1
6
.
2
0
3
5
[
.
]
3
9
.
2
1
7
.
1
1
5
5
[
.
]
3
9
.
2
2
1
.
6
0
5
[
.
]
4
5
.
6
4
.
3
6
5
[
.
]
8
.
1
8
.
5
0
8
[
.
]
2
1
0
.
1
5
2
.
8
3
8
[
.
]
2
1
0
.
5
2
.
1
0
1
3
[
.
]
1
2
4
.
9
2
.
1
4
5
1
3
[
.
]
2
1
1
.
1
6
1
.
1
1
3
1
3
[
.
]
2
1
1
.
1
7
0
.
3
7
1
3
[
.
]
2
1
1
.
1
8
0
.
1
0
7
1
3
[
.
]
2
2
9
.
2
2
2
.
2
0
7
1
3
[
.
]
2
3
6
.
2
0
8
.
1
2
5
1
3
[
.
]
5
4
.
1
9
8
.
4
7
1
3
[
.
]
5
9
.
1
9
2
.
2
3
3
1
3
[
.
]
9
1
.
4
.
1
2
8
1
8
[
.
]
1
3
0
.
1
4
4
.
1
4
7
1
8
[
.
]
1
3
0
.
1
5
5
.
1
5
7
1
8
[
.
]
1
6
3
.
2
0
6
.
9
8
1
8
[
.
]
1
6
3
.
4
6
.
1
9
0
1
8
[
.
]
1
6
6
.
3
1
.
1
1
3
1
8
[
.
]
2
1
5
.
1
6
7
.
2
7
1
8
[
.
]
2
1
6
.
5
1
.
1
5
5
1
8
[
.
]
2
1
7
.
1
9
.
1
7
6
1
8
[
.
]
2
1
7
.
5
4
.
1
2
7
1
8
[
.
]
2
2
4
.
2
3
4
.
8
5
2
3
[
.
]
1
0
1
.
2
0
4
.
4
0
2
3
[
.
]
1
0
6
.
2
1
5
.
1
7
9
2
3
[
.
]
2
4
8
.
1
6
2
.
1
4
2
2
3
[
.
]
2
5
4
.
2
0
2
.
2
1
7
2
3
[
.
]
2
5
4
.
2
2
8
.
8
9
2
3
[
.
]
2
5
4
.
2
2
9
.
3
5
2
3
[
.
]
2
5
4
.
2
3
0
.
6
0
2
3
[
.
]
8
2
.
1
8
5
.
9
1
2
3
[
.
]
8
2
.
1
8
5
.
9
6
2
3
[
.
]
8
3
.
2
4
8
.
1
0
5
2
7
[
.
]
1
0
2
.
1
1
8
.
1
8
1
2
7
[
.
]
1
0
2
.
1
1
8
.
1
8
7
2
7
[
.
]
1
0
2
.
1
1
8
.
1
9
0
3
1
[
.
]
1
4
.
4
0
.
2
3
0
3
1
[
.
]
2
1
0
.
9
1
.
2
1
7
3
1
[
.
]
2
2
0
.
4
3
.
1
6
0
3
1
[
.
]
4
4
.
1
8
4
.
1
2
5
3
1
[
.
]
4
4
.
1
8
4
.
1
3
1
3
1
[
.
]
4
4
.
1
8
4
.
4
8
3
1
[
.
]
4
4
.
1
8
4
.
4
9
3
1
[
.
]
4
4
.
1
8
4
.
5
0
3
1
[
.
]
4
4
.
1
8
4
.
5
1
3
1
[
.
]
4
4
.
1
8
4
.
5
3
3
1
[
.
]
4
4
.
1
8
4
.
5
5
3
4
[
.
]
2
0
4
.
3
.
1
0
3
4
[
.
]
2
0
9
.
4
0
.
2
6
3
4
[
.
]
2
1
2
.
8
3
.
2
2
7
3
4
[
.
]
2
2
1
.
2
.
2
0
1
3
4
[
.
]
2
2
4
.
1
5
7
.
7
0
3
4
[
.
]
2
3
0
.
6
8
.
2
0
6
3
4
[
.
]
2
3
8
.
1
9
2
.
4
3
3
4
[
.
]
6
7
.
1
8
0
.
2
1
4
3
4
[
.
]
8
0
.
1
4
4
.
1
5
0
3
4
[
.
]
8
4
.
3
9
.
1
7
3
3
4
[
.
]
8
7
.
7
6
.
2
1
9
3
4
[
.
]
9
2
.
2
3
7
.
2
4
6
3
4
[
.
]
9
2
.
5
7
.
1
8
1
3
4
[
.
]
9
4
.
3
3
.
1
9
3
4
[
.
]
9
6
.
1
2
9
.
1
9
7
3
4
[
.
]
9
6
.
2
4
5
.
6
6
3
4
[
.
]
9
7
.
5
5
.
2
0
4
3
5
[
.
]
1
6
4
.
1
7
2
.
1
1
5
3
5
[
.
]
1
7
6
.
2
0
7
.
2
0
3
5
[
.
]
2
0
1
.
1
6
4
.
1
3
2
3
5
[
.
]
2
0
3
.
1
7
3
.
1
9
6
3
5
[
.
]
2
2
5
.
2
4
4
.
4
5
3
5
[
.
]
2
3
4
.
1
5
6
.
2
4
4
3
5
[
.
]
2
3
5
.
8
9
.
2
2
2
3
5
[
.
]
2
4
1
.
1
2
5
.
1
5
9
3
6
[
.
]
1
3
3
.
3
5
.
7
3
9
[
.
]
1
0
0
.
1
1
9
.
3
7
3
9
[
.
]
1
0
0
.
2
3
3
.
9
9
3
9
[
.
]
1
0
0
.
6
5
.
9
9
3
9
[
.
]
1
0
0
.
7
2
.
1
0
8
3
9
[
.
]
1
0
1
.
1
7
4
.
8
6
3
9
[
.
]
1
0
1
.
2
0
7
.
1
3
7
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全