Cobalt Strike 使用笔记（三）木马自启动、免杀

一、木马自启动
Tis：就是将一个程序制作成服务（可以设置自启动，每次开机时自启）
1.准备
1.1制作服务型木马需要工具winsw.exe
下载地址：https://github.com/winsw/winsw/releases/tag/v3.0.0-alpha.10
1.2需要一个木马（用Cobalt Strike生成即可）
1.3创建一个xml文件（文件名要与.exe相同）

2.将工具、xml文件、木马放入同一个文件夹

3.进入doc界面，执行 —— “ 工具.exe install “ 将服务安装

4.第一次安装服务默认是关闭状态，需要手动启动、设置自启动

5.目标马上线

二、shellcode免杀
Tips：shellcode免杀就是将shellcode（攻击代码）和加载程序分开来，不直接将代码写道程序里。
1.准备
1.1加载程序exe文件是用go语言编写生成的，所以提前要装好go环境（从菜鸟教程入手）
1.2生成加载程序的go脚本、bobo.txt（老师给的）
1.3需要一个payload(要生成X64的)

2.用go脚本生成一个加载器 命令：go build go脚本

3.payload里的16进制编码（就是shellcode）复制到bobo.txt （只要16进制编码，其他啥也不要）

4.进入doc命令执行。命令： 加载器.exe 密码 bobo.txt

5.目标已上线

Tips：密码是自己可以随意设置的，生成exe文件之前修改go文件