Cobalt Strike 4.5 二次开发与免杀技术详解<\/h1>

一、前期准备与环境配置<\/h2>

1.1 版本选择<\/h3>
推荐使用 CS 4.5 版本（双端 Java 实现）<\/li>
4.7 及以上版本防破解机制增强，服务端二进制文件加大破解难度<\/li> <\/ul>
1.2 基础配置修改<\/h3>

修改默认端口<\/h4>
编辑 teamserver<\/code> 文件<\/li>
将默认 50050 端口修改为其他端口（如 37533）<\/li>
修改示例：<\/li>
<\/ol>
java -XX:ParallelGCThreads=<\/span>4<\/span> -Dcobaltstrike.server_port=<\/span>37533<\/span> -Dcobaltstrike.server_bindto=<\/span>0.0.0.0 ...
<\/span><\/span><\/code><\/pre>修改 HTTPS 特征证书<\/h4>

查看默认证书特征：<\/li>
<\/ol>
keytool -list -v -keystore cobaltstrike.store
<\/span><\/span><\/code><\/pre>
生成自定义证书：<\/li>
<\/ol>
keytool -genkey -keystore Cobal.store -storepass Admin@123 -keypass Admin@123 -keyalg RSA -alias Xuan -dname "CN=China, OU=Hehu, O=Waou, L=Long, S=Serce, C=noind"<\/span>
<\/span><\/span><\/code><\/pre>
修改 teamserver<\/code> 文件中的证书配置：<\/li>
<\/ol>
-Djavax.net.ssl.keyStore=<\/span>.\/Cobal.store -Djavax.net.ssl.keyStorePassword=<\/span>Admin@123
<\/span><\/span><\/code><\/pre>二、Profile 文件定制<\/h2>
2.1 Profile 文件作用<\/h3>

修改流量特征<\/li>
修改 Beacon 默认行为<\/li>
使通信更加隐蔽<\/li>
<\/ul>
2.2 可修改特征<\/h3>

GET\/POST 请求内容<\/li>
远程加载的 beacon.dll 特征<\/li>
远程加载 beacon.dll 的 URI<\/li>
进程注入细节<\/li>
后渗透模块特征<\/li>
<\/ol>
2.3 测试 Profile<\/h3>
.\/c2lint jquery-c2.3.12.profile
<\/span><\/span><\/code><\/pre>2.4 启动时指定 Profile<\/h3>
teamserver xxx.xxx.xxx.xxx xuan xxx.profile
<\/span><\/span><\/code><\/pre>三、反编译与破解<\/h2>
3.1 反编译步骤<\/h3>

使用 Java 11 进行反编译：<\/li>
<\/ol>
java -cp "IDEA路径\/plugins\/java-decompiler\/lib\/java-decompiler.jar"<\/span> org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=<\/span>true cobaltstrike.jar cobal
<\/span><\/span><\/code><\/pre>
创建 IDEA 项目：

项目名称：CobalStrike<\/li>
JDK 选择：1.8 Oracle OpenJDK version1.8.0_112<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 关键破解文件修改<\/h3>
BeaconData.java<\/h4>
\/\/ 保持 var1=true 或注释最后的 if 语句
<\/span><\/span><\/span><\/code><\/pre>Authorization.java<\/h4>
\/\/ 注释掉 cobaltstrike.auth 文件校验
<\/span><\/span><\/span>\/\/ 给 var4 赋值破解密钥
<\/span><\/span><\/span><\/code><\/pre>Helper.java、Starter.java、Starter2.java<\/h4>
\/\/ 注释掉 class 文件调用，保证 var2=true
<\/span><\/span><\/span><\/code><\/pre>四、个性化定制<\/h2>
4.1 界面修改<\/h3>

修改标题（AggressorClient.java 79 行）：<\/li>
<\/ol>
protected<\/span> String title =<\/span> "Cobalt Strike XUAN个人定制"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>
连接对话框修改（ConnectDialog.java）：<\/li>
<\/ol>
this<\/span>.<\/span>options<\/span>.<\/span>addPage<\/span>(<\/span>"New Profile"<\/span>,<\/span> null<\/span>,<\/span> "Connection CS"<\/span>,<\/span> ...);<\/span>
<\/span><\/span><\/code><\/pre>4.2 资源文件修改<\/h3>

resources\/about.html<\/code> - 修改版本信息<\/li>
resources\/credits.txt<\/code> - 修改许可信息<\/li>
替换图标文件：

resources\/armitage-icon.gif<\/code> (32×32px)<\/li>
resources\/armitage-logo.gif<\/code> (256×256px)<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 主题风格修改<\/h3>

使用 FlatLaf 主题库<\/li>
在 Aggressor.java<\/code> 中添加：<\/li>
<\/ol>
FlatIntelliJLaf.<\/span>setup<\/span>();<\/span>
<\/span><\/span><\/code><\/pre>五、流量特征修改<\/h2>
5.1 CS 默认特征<\/h3>

GET 请求地址为 4 字符长度<\/li>
POST 请求地址为 submit.php<\/li>
checksum8 算法特征：

64位=93<\/li>
32位=92<\/li>
<\/ul>
<\/li>
<\/ol>
5.2 修改 checksum8 算法<\/h3>

修改 WebServer.java<\/code> 和 CommonUtils.java<\/code><\/li>
在 CommonUtils.java<\/code> 中强制返回自定义访问地址<\/li>
示例修改（1384 行和 1399 行）：<\/li>
<\/ol>
return<\/span> "xxxx"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>六、Stager 修改<\/h2>
6.1 Stager 特征<\/h3>

运行 EXE 后自动生成并访问特定 URL<\/li>
远程下载 Stager 文件<\/li>
杀软和 EDR 会检测下载的文件<\/li>
<\/ol>
6.2 修改 Beacon 混淆密钥<\/h3>


默认密钥：<\/p>

3.x 版本：0x69<\/li>
4.x 版本：0x2E<\/li>
<\/ul>
<\/li>

修改 BeaconPayload.java<\/code> 中的密钥值<\/p>
<\/li>

使用 CrackSleeve 工具修改 sleeve 目录下的 DLL 文件：<\/p>

下载地址：https:\/\/github.com\/ca3tie1\/CrackSleeve<\/li>
4.5 版本专用：https:\/\/github.com\/kyxiaxiang\/CrackSleeve4.5<\/li>
<\/ul>
<\/li>

修改步骤：<\/p>

使用 IDA 打开 sleeve\/beacon.x64.dll<\/code><\/li>
搜索 0x2e 并修改为自定义密钥<\/li>
使用 CrackSleeve 重新加密文件<\/li>
<\/ul>
<\/li>
<\/ol>
七、PowerShell 模板修改<\/h2>
7.1 自定义 PowerShell 模板<\/h3>


准备文件：<\/p>

AES-Encoder.ps1<\/code><\/li>
template.x64.ps1<\/code><\/li>
<\/ul>
<\/li>

修改 ResourceUtils.java<\/code>：<\/p>
<\/li>
<\/ol>
public<\/span> byte<\/span>[]<\/span> _buildPowerShellNoHint<\/span>(<\/span>byte<\/span>[]<\/span> var1,<\/span> String var2)<\/span> throws<\/span> IOException,<\/span> InterruptedException {<\/span>
<\/span><\/span>    ProcessBuilder pb =<\/span> new<\/span> ProcessBuilder(<\/span>
<\/span><\/span>        "powershell"<\/span>,<\/span> "-ExecutionPolicy"<\/span>,<\/span> "Bypass"<\/span>,<\/span> "-Command"<\/span>,<\/span> 
<\/span><\/span>        "Import-Module .\\AES-Encoder.ps1; Invoke-AES-Encoder -InFile .\\template.x64.ps1 -OutFile x64.ps1 -Iterations 6"<\/span>
<\/span><\/span>    );<\/span>
<\/span><\/span>    pb.<\/span>directory<\/span>(<\/span>new<\/span> File(<\/span>"C:\\Users\\31062\\CobalStrike"<\/span>));<\/span>
<\/span><\/span>    \/\/ 其他处理逻辑...
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>八、免杀技术总结<\/h2>
8.1 关键免杀点<\/h3>

修改默认端口和证书<\/li>
定制 Profile 文件<\/li>
修改 checksum8 算法和流量特征<\/li>
更改 Beacon 混淆密钥<\/li>
定制 PowerShell 模板<\/li>
修改 Stager 下载文件特征<\/li>
<\/ol>
8.2 注意事项<\/h3>

修改后需同时更新客户端和服务端<\/li>
修改前备份原始文件<\/li>
测试所有功能是否正常<\/li>
不同版本可能需要不同的修改方式<\/li>
<\/ol>
附录：工具与资源<\/h2>


CrackSleeve 工具：<\/p>

https:\/\/github.com\/ca3tie1\/CrackSleeve<\/li>
各版本专用工具在 kyxiaxiang 仓库<\/li>
<\/ul>
<\/li>

流量分析工具：<\/p>

Wireshark 过滤器：http.request.method == "GET"<\/code><\/li>
<\/ul>
<\/li>

Stager 分析脚本：<\/p>

Sentinel-One\/CobaltStrikeParser<\/li>
<\/ul>
<\/li>

FlatLaf 主题库：<\/p>

Maven 仓库：https:\/\/mvnrepository.com\/artifact\/com.formdev\/flatlaf\/3.2<\/li>
<\/ul>
<\/li>
<\/ol>