Cobalt Strike execute-assembly 功能原理分析与实现指南<\/h1>

概述<\/h2>

Cobalt Strike 的 execute-assembly<\/code> 功能允许在非托管进程（如 Beacon）中直接内存加载并执行 .NET 程序集，无需将文件写入磁盘。本文深入分析其技术原理，并提供重构实现的关键步骤。<\/p>


0x01 技术背景<\/h2>
托管代码与非托管环境<\/h3>

.NET 程序集属于托管代码<\/strong>，依赖公共语言运行时（CLR）环境执行。<\/li>
Beacon 等传统 payload 是非托管程序<\/strong>，需主动加载 CLR 才能运行 .NET 代码。<\/li>
关键技术：通过 COM 接口动态初始化 CLR 并加载程序集。<\/li>
<\/ul>

0x02 内存加载 .NET 程序集的核心步骤<\/h2>
1. 初始化 CLR 环境<\/h3>
需按顺序调用以下 COM 接口：<\/p>
\/\/ 1. 获取 CLR MetaHost
<\/span><\/span><\/span><\/span>ICLRMetaHost*<\/span> iMetaHost;
<\/span><\/span>CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (VOID**<\/span>)&<\/span>iMetaHost);
<\/span><\/span>
<\/span><\/span>\/\/ 2. 获取指定版本运行时信息（如 v4.0.30319）
<\/span><\/span><\/span><\/span>ICLRRuntimeInfo*<\/span> iRuntimeInfo;
<\/span><\/span>iMetaHost-><\/span>GetRuntime(L<\/span>"v4.0.30319"<\/span>, IID_ICLRRuntimeInfo, (VOID**<\/span>)&<\/span>iRuntimeInfo);
<\/span><\/span>
<\/span><\/span>\/\/ 3. 加载 CLR 到当前进程并启动
<\/span><\/span><\/span><\/span>ICorRuntimeHost*<\/span> iRuntimeHost;
<\/span><\/span>iRuntimeInfo-><\/span>GetInterface(CLSID_CorRuntimeHost, IID_ICorRuntimeHost, (VOID**<\/span>)&<\/span>iRuntimeHost);
<\/span><\/span>iRuntimeHost-><\/span>Start();
<\/span><\/span><\/code><\/pre>2. 加载应用程序域（AppDomain）<\/h3>

AppDomain 提供代码执行的隔离环境。<\/li>
默认使用当前进程的默认域，也可创建新域。<\/li>
<\/ul>
3. 装载程序集并执行<\/h3>

将程序集（二进制数据）加载到 AppDomain。<\/li>
通过反射获取入口点（如 Main<\/code> 方法）。<\/li>
使用 MethodInfo.Invoke()<\/code> 调用并传递参数。<\/li>
<\/ul>
4. 示例代码结构<\/h3>
\/\/ 编译后的 .NET 程序集字节数据<\/span>
<\/span><\/span>byte<\/span>[] assemblyData = { \/* HEX 数据 *\/<\/span> };
<\/span><\/span>
<\/span><\/span>\/\/ 加载并执行流程：<\/span>
<\/span><\/span>\/\/ 1. 初始化 CLR → 2. 获取默认域 → 3. 加载程序集 → 4. 调用入口点<\/span>
<\/span><\/span><\/code><\/pre>
0x03 Cobalt Strike 的实际实现机制<\/h2>
关键设计：反射式注入（RDI）<\/h3>

Beacon 不直接加载 CLR<\/strong>，而是将 CLR 初始化代码嵌入到目标 .NET 程序集中。<\/li>
修改程序集，添加 ReflectiveLoader<\/code> 导出函数，支持反射加载。<\/li>
<\/ul>
进程注入流程<\/h3>


选择目标进程<\/strong><\/p>

默认使用 rundll32.exe<\/code>（可配置其他进程）。<\/li>
以 CREATE_SUSPENDED<\/code> 方式创建进程，挂起主线程。<\/li>
<\/ul>
<\/li>

注入与执行<\/strong><\/p>

将修改后的程序集注入目标进程。<\/li>
使用 SetThreadContext<\/code> + ResumeThread<\/code> 触发执行（避免 CreateRemoteThread<\/code> 被监控）。<\/li>
<\/ul>
<\/li>

输出捕获<\/strong><\/p>

通过管道（Pipe）重定向目标进程的 stdout\/stderr。<\/li>
Beacon 轮询读取管道数据并回传至服务端。<\/li>
<\/ul>
<\/li>
<\/ol>
复杂处理逻辑（完整版支持）<\/h3>

进程选择<\/strong>：根据 profile 配置动态决定。<\/li>
BlockDlls 防护<\/strong>：可选阻止非微软 DLL 加载。<\/li>
Token 模拟<\/strong>：支持凭据窃取后的上下文执行。<\/li>
智能注入（SmartInject）<\/strong>：规避内存扫描。<\/li>
<\/ul>

0x04 简化版 execute-assembly 实现<\/h2>
功能阉割说明<\/h3>

仅支持 x64 环境。<\/li>
使用固定目标进程（rundll32.exe<\/code>）。<\/li>
无 Token 模拟\/BlockDlls 等高级功能。<\/li>
输出捕获仅等待 2 秒，适合短时任务。<\/li>
<\/ul>
关键代码步骤<\/h3>
1. 启动挂起进程<\/h4>
STARTUPINFOA si =<\/span> { sizeof<\/span>(si) };
<\/span><\/span>PROCESS_INFORMATION pi;
<\/span><\/span>CreateProcessA("C:<\/span>\\<\/span>Windows<\/span>\\<\/span>System32<\/span>\\<\/span>rundll32.exe"<\/span>, ..., CREATE_SUSPENDED, ...);
<\/span><\/span><\/code><\/pre>2. 注入程序集<\/h4>

使用 VirtualAllocEx<\/code> 在目标进程分配内存。<\/li>
写入嵌入 CLR 初始化代码的程序集数据。<\/li>
通过 SetThreadContext<\/code> 修改线程上下文并执行。<\/li>
<\/ul>
3. 读取输出<\/h4>
\/\/ 等待管道数据（最多 2 秒）
<\/span><\/span><\/span><\/span>PipeWaitForExec(hReadPipe, 2000<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ 读取数据并返回
<\/span><\/span><\/span><\/span>ReadFile(hReadPipe, buffer, ...);
<\/span><\/span><\/code><\/pre>
0x05 总结与注意事项<\/h2>
技术要点<\/h3>

核心是通过 COM 接口动态加载 CLR，无需安装 .NET 环境。<\/li>
Cobalt Strike 通过 RDI 将初始化代码融入程序集，增强隐蔽性。<\/li>
完整实现需处理进程创建、注入策略、输出捕获等复杂逻辑。<\/li>
<\/ul>
局限性<\/h3>

简化版无法处理长时间运行的任务（如 keylogger）。<\/li>
需完整实现 Job 管理和异步管道读取才能支持持续输出。<\/li>
<\/ul>
扩展建议<\/h3>

参考开源 CoffLoader 项目实现 Beacon API。<\/li>
集成进程保护（BlockDlls）、Token 模拟等企业级功能。<\/li>
<\/ul>

参考文献<\/h2>

逆向分析 Cobalt Strike 4.4 Beacon。<\/li>
Microsoft DOCS: CLR Hosting Interfaces。<\/li>
<\/ul>

Cobalt Strike execute-assembly 功能原理分析与实现指南<\/h1>

0x01 技术背景<\/h2>

0x02 内存加载 .NET 程序集的核心步骤<\/h2>

0x03 Cobalt Strike 的实际实现机制<\/h2>

0x04 简化版 execute-assembly 实现<\/h2>

关键代码步骤<\/h3>

0x05 总结与注意事项<\/h2>

扩展建议<\/h3> 参考开源 CoffLoader 项目实现 Beacon API。<\/li> 集成进程保护（BlockDlls）、Token 模拟等企业级功能。<\/li> <\/ul> 参考文献<\/h2> 逆向分析 Cobalt Strike 4.4 Beacon。<\/li> Microsoft DOCS: CLR Hosting Interfaces。<\/li> <\/ul>

参考文献<\/h2> 逆向分析 Cobalt Strike 4.4 Beacon。<\/li> Microsoft DOCS: CLR Hosting Interfaces。<\/li> <\/ul>

扩展建议<\/h3>

参考开源 CoffLoader 项目实现 Beacon API。<\/li>
集成进程保护（BlockDlls）、Token 模拟等企业级功能。<\/li> <\/ul>

参考文献<\/h2>

逆向分析 Cobalt Strike 4.4 Beacon。<\/li>
Microsoft DOCS: CLR Hosting Interfaces。<\/li> <\/ul>

参考文献<\/h2>

逆向分析 Cobalt Strike 4.4 Beacon。<\/li>
Microsoft DOCS: CLR Hosting Interfaces。<\/li> <\/ul>