Cobalt Strike Screenhost 数据格式
2025-04-07
1 min read
本篇建议与《Cobalt Strike 通讯协议分析》一起观看
https://blog.cxaqhq.cn/post/cobalt-strike-%E9%80%9A%E8%AE%AF%E5%8D%8F%E8%AE%AE%E5%88%86%E6%9E%90/
具体流程
下发Screenhost DLL
Beacon 加载DLL
下发101 任务
- Sleep Time
- Callback Type
- Pipe Name
- Description
上报截屏数据
- 通过Pipe 读取全部数据
- 对数据进行截取,去掉前四字节
- 其他数据直接上报
Pipe 读取内容
4byte 未知1
4byte 未知2
JPEG 数据
上报数据格式(需要回传Callback)
4byte 未知2
JPEG 数据