如何经常使用WindowSpy成功对指标用户的行为监控

关于WindowSpy

WindowSpy是一特性能弱小的Cobalt Strike Beacon对象文件，可以协助广阔钻研人员对指标用户的行为启动监控。该工具的关键指标是仅在某些指标上触发监督性能，例如阅读器登录页面、敏感文件、vpn登录等。目的是经过防止检测到重复经常使用监督性能（如屏幕截图）来提高用户监督时期的隐蔽性。

除此之外，该工具还能够大小节俭红队钻研人员在挑决定户监控数据时所要破费的时期。

工具运转机制

每次检测到Beacon之后，BOF都会在指标上智能运转。BOF附带了一个硬编码的字符串列表，这些字符串在窗口题目中很经常出现，例如登录、治理员、控制面板、vpn等。咱们可以自定义此列表并从新编译。它枚举可见的窗口，并将题目与字符串列表启动比拟，假设检测到其中任何一个，它将触发WindowSpy.cn中定义的名为spy()的本地aggressorscript函数。自动状况下，它会启动屏幕截图。咱们可以依据须要自定义此性能，例如按键记载、WireTap、网络摄像头号。

spy()函数允许接纳一个参数，即$1（触发该行为的BeaconID）。

工具装置

首先，广阔钻研人员须要经常使用下列命令将该名目源码克隆至本地：

git clone https:

接上去，将名目中的WindowsSpy.cna脚本加载进CobaltStrike即可。

源码构建

首先，在VisualStudio中关上WindowSpy.sln处置方案文件。

而后针对指标BOF（x64/x86）构建代码即可。

工具经常使用

加载成功之后，每当检测到Beacon时该工具都会智能运转，并相应地触发对应的操作。

名目地址

WindowSpy：【GitHub传送门】