成都创信华通公司在授权红队评估和安全验证场景中需要自动化免杀能力,用于评估终端安全产品对 Cobalt Strike 4.9 相关样本的检测覆盖。我对具体问题进行定位后发现,默认载荷存在隐蔽性不足、静态特征明显、运行时行为特征较强等问题,因此立项建设ultimate 自动化处理框架,通过封装、混淆、编译和验证流程减少人工重复操作,提升安全测试效率和样本适配能力。
点击空白处退出提示
成都创信华通公司在授权红队评估和安全验证场景中需要自动化免杀能力,用于评估终端安全产品对 Cobalt Strike 4.9 相关样本的检测覆盖。我对具体问题进行定位后发现,默认载荷存在隐蔽性不足、静态特征明显、运行时行为特征较强等问题,因此立项建设ultimate 自动化处理框架,通过封装、混淆、编译和验证流程减少人工重复操作,提升安全测试效率和样本适配能力。
ultimate 项目主要由输入配置、混淆处理、模板生成、编译构建、运行态适配和产物输出几个模块组成。项目支持读取授权测试样本,调用 confuser 模块进行编码和异或混淆,再由 generator.py 自动生成 C++ loader 模板代码,并结合 Visual Studio 编译环境与编译指令 完成本地构建。框架还提供运行环境判断、调试/沙箱检测、内存属性管理、输出重命名、符号剥离和文档示例等能力,把原本需要手工改代码、嵌入数据、调整编译参数的流程收敛为一套可配置的自动化流水线。
整个任务由我负责。项目技术栈以 Python + C++/WinAPI + Visual Studio Build Tools 为核心:Python 负责流程编排、参数读取、调用混淆器和编译器;C++ 模板负责样本装载、环境自检、内存控制和运行态逻辑;Detours 相关库用于运行态 Hook 与内存属性协同。实现亮点在于将混淆、模板注入、编译、重命名和输出管理整合成自动化链路;难点主要在于不同 Windows 版本、Server/Desktop 环境差异、VS 编译路径配置、x86/x64 兼容性,以及安全产品对静态和动态特征的多层检测。



评论