BOF及cna插件开发初探

文章预览

Beacon Object File bof能够加载并执行C/C++编译后但未链接的目标obj文件(linux中的.o文件)。可以在beacon中执行内部的beaconAPI和Win32API。它的体积很小，在beacon进程内部运行，不会创建新进程，所以可以有效的规避一些EDR。 开发BOF 环境 OS: Windows 10 IDE: VS2022 开发模版: https://github.com/securifybv/Visual-Studio-BOF-template 将模版下载后，我们导入VS的模版目录。 用户路径\\文稿\\Visual Studio 2022\\Templates\\ProjectTemplates 然后在新建项目中就能看到模版 然后在生成->批生成中勾选，方案配置选择BOF 然后生成，就能够在项目目录里看到obj文件 功能实现 首先了解一下动态函数解析(DFR) 比如我们要获取当前用户名，在Win32API中就要调用GetUserNameA，我们使用DFR就是要变成如下格式 DECLSPEC_IMPORT DWORD WINAPI ADVAPI32 $GetUserNameA (LPSTR, LPDWORD); DECLSPEC_IMPORT：导入函数的关键字 WINAPI：函 ………………………………