文章总结： 文档详细记录了CobaltStrike4.5二次开发过程，包括修改默认密钥、去除暗桩、调整Sleepmask等关键步骤，成功绕过火绒和ESET内存扫描，但卡巴斯基仍可检测。提供了完整工具链和免杀马生成方法，适用于红队安全测试，需合法使用。 综合评分： 75 文章分类： 免杀,红队,内网渗透,恶意软件,安全工具

Cobalt Strike 4.5二开过火绒、eset内存扫描

原创

词不达意 词不达意

词不达意安全团队

2026年5月2日 17:39 广东

在小说阅读器读本章

去阅读

cs4.5

可以遐想师傅去年把cs4.5 beacon源代码公开了，当时保存了一份到本地，想着有空折腾下，写下了记录内容。

本地环境

本次二开我的环境如下：

• • windows10
• • Visual Studio 2012
• • IntelliJ IDEA 2023.3.2

cobaltstrike客户端

cobaltstrike.jar的java层反编译，网上很多文章，我这里就讲下我主要修改的地方。

去除暗桩

有很多处注释或者修改就行

修改默认密钥

修改为多字节密钥 不修改的话，例如微步沙箱可以通过默认密钥获取你的beacon信息，还有网络上各种bot扫描cs配置，给你打上标签，假上线。

Beacon修改

公开的源码解压到目录下

编译依赖

使用vs2012编译好如下依赖，在目录下新建lib文件夹

• • LibTomMath
• • LibTomCrypt

链接器-常规-附加库目录 选择lib目录 然后选择beacon，成功编译beacon.x64.dll

去除暗桩

这两个方法的返回值都要改为FALSE，因为会用 teamserver 端发过来的水印值进行校验，不符合就退出

修改默认密钥

修改bof默认slot槽位

默认为32修改为1024

修改默认Sleepmask

修改原先加密逻辑

替换dll

编译好的dll放在Decode解密文件下，使用命令进行加密 到Encode加密文件夹下复制dll文件 然后通过压缩包或者idea直接替换dll文件到cobaltstrike文件里

上线测试

因为修改原因，只支持导出Raw格式上线 使用导出的.bin文件，生成免杀马 正常上线

内存扫描

火绒内存保护，扫描灵敏度设置为高 点击文件上线，快速扫描进程 未发现风险，正常上线eset扫描未查杀

Bitdefender使用白影2.0工具挖掘白加黑稳定上线

卡巴斯基内存扫描寄了会查杀，没改彻底有兴趣的可以折腾下，完整源代码加入纷传获取

纷传介绍

工具文件加入纷传获取，圈子专注红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透。

圈子往期文件内容如下

• •冲锋马一键生成工具（一键生成免杀loader）
• •lnk文件一键生成工具（一键生成免杀钓鱼lnk文件）
• •bypass内存扫描插件（可绕过火绒、卡巴斯基等杀软内存扫描cs插件）
• •暗涌在线免杀平台（白文件patch免杀loader（分离、单文件）一键生成平台、支持反沙箱）
• •bypass任务计划工具（普通权限可添加、钓鱼快速免杀维权）
• •后渗透工具免杀（petobin，分离加载避免静态落地被秒）
• •BYOVD攻击一键结束赛门铁克进程
• •BinPatch免杀工具过国内主流杀软
• •白影(whiteShadow)自动化白加黑免杀工具v1.0
• •白影(whiteShadow)自动化白加黑免杀工具v2.0
• •Windows恶意软件常见API一览（PDF）
• •Maldev Academy 恶意软件开发完整课程（源码+VM镜像）
• •SplitRun一款exe免杀工具v1.0
• •cs4.5二开过火绒内存扫描

参考文章

https://red-team.tips/post/KbHZkszOlP/
https://mp.weixin.qq.com/s/ayk4yJEg0cvjUN2PyxkbMw

重要声明

本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担，禁止用于任何非法渗透测试，以及无授权违法测试，请遵守中华人民共和国网络安全法。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：词不达意安全团队 词不达意 词不达意《Cobalt Strike 4.5二开过火绒、eset内存扫描》