通过判断目标是否出网，何种方式出网选择相应的方式上线。

选择CobaltStrike4.1 RAW格式shellcode 生成payload.bin 生成不同listener 的payload ，这里生成http和dns

点击choose将生成的payload或doc文件选择到对应选项

等待一会，成功生成目标文件和dll 到当前文件夹

点击会发现释放出真实docx文件并执行，并将exe文件设为隐藏。

过一会CS会上线。

生成马需要visual studio环境，这里是visual studio 2017

判断出网方式 TCP、DNS √

依据不同的出网方式进行shellcode加载 √

利用lolbins结合dll劫持执行shellcode √

修改可执行内存申请 后添加可执行权限√

添加sleep 万一能绕过沙箱√

将判断dns是否出网替换自己指向127.0.0.1 的域名 √

释放出word并将word文件名修改一致[Beta=1.1.0]√

设置当前EXE文件为隐藏[Beta=1.1.0]√

将shellcode加密存放在dll文件中[Beta=1.1.0]√

解密本地shellcode并运行shellcode [Beta=1.1.0]√

权限维持[Beta=1.1.0]√

进程注入到系统进程[Beta=1.1.0]√

新方式出网探测[[Beta=1.1.0]√

EXE自删除

DNS beacon自动checkin

ICMP协议支持

寻找更可靠的权限维持方法

功能分化： 1. 免杀模式 2. 钓鱼模式（释放word）

免杀模式：

1. 其他白利用方式

钓鱼模式：

1. 添加chm帮助文件 白利用链

360杀毒 未通过

360安全卫士 通过

火绒 通过

360杀毒 通过

360安全卫士 通过

火绒 通过

比较优秀的支持icmp协议的远控？

改工具仅限于安全研究使用、切勿用于非法用途。如红队使用请务必在授权状态下使用！