魔改CobaltStrike：探究beacon里每个功能点是如何实现的

魔改CobaltStrike：命由己造（上）1概述这次我们来探究beacon里每个功能点是如何实现的，以便日后更好地实现自定义beacon。因为有近百个相关功能点，所以文章就分了上下两部分。项目地址如下：https://github.com/mai1zhi2/CobaltstrikeSource2前情提要我们从上篇协议剖析得文章中知道当beacon发送心跳包后，teamserver会返回相应的任务号，并返回相应得任务信息，beacon接收到任务信息后，会进入循环处理：在AllCase_10007F19()里面就是beacon得全部命令功能，我们按反编译循环中的case号从低向高写，case号与发送数据包的任务号是大同小异的。3功能剖析spawn（x86）case1，派生会话，原理是挂起方式启动rundll32并注入dll接收到的数据：Createprocess()以挂起方式启动rundll32.exe：注意输入的标志0x000000 ………………………………