copyleftdev/slickaf

# slickaf Cobalt Strike beacon 配置解析器。Rust 重写自 [Sentinel-One/CobaltStrikeParser](https://github.com/Sentinel-One/CobaltStrikeParser)。 ## 功能 从 PE 文件、内存转储、Shellcode 和实时 C2 URL 中提取 Beacon 设置。 ``` slickaf parse beacon.dll slickaf scan memory.dmp slickaf fetch http://10.0.0.1 ``` 输出 C2 服务器、睡眠/抖动、水印、公钥、可变形 C2 配置文件、进程注入配置、DNS 设置、杀伤日期等 —— 共 60 多项设置。 ## 安装 ``` cargo install slickaf ``` 单个静态二进制文件。不依赖 Python、OpenSSL 或运行时依赖。 ## 用法 ``` slickaf parse beacon.bin # PE, DLL, shellcode — figures out the format slickaf parse beacon.bin --json # structured output slickaf parse beacon.bin --format toon # token-optimized for LLMs slickaf scan memory.dmp # SIMD pattern scan slickaf fetch http://10.0.0.1 --arch x64 # live C2 ``` ## 工作原理 Beacon 配置为 XOR 编码的 TLV 数据块，位于 PE 的 `.data` 段或原始内存中。 **PE 文件** — 使用 goblin 解析，定位 `.data` 段，通过频率分析检测 XOR 密钥（对小段使用频谱后备方法），解密后提取 TLV 设置。 **内存转储** — 使用 Aho-Corasick 多模式匹配 CS3/CS4 头，每个命中通过频谱分析评分以区分真实配置与误报。 **Shellcode** — 查找 `\xff\xff\xff` 标记，提取 XOR 密钥，执行滚动 DWORD 解码。 **实时 C2** — 请求 `/ab2g`（x86）或 `/ab2h`（x64），解密启动器响应。 ## 测试 ``` cargo test ``` 包含 5 套测试的 268 个测试用例。6 个真实 Beacon 样本。20 个配置来自 [Fox-IT 的 Beacon 数据集](https://github.com/fox-it/cobaltstrike-beacon-data)。基于属性的模糊测试。对抗性混沌测试。

标签：Aho-Corasick, Beacon 样本, Beacon 配置解析, C2 URL 提取, C2 通信, Cobalt Strike, DNS 设置, Jitter, Kill Date, Malleable C2, mmap, PE 解析, Rust, SEO: Beacon 配置提取, SEO: Cobalt Strike Beacon 解析, SEO: Rust PE 解析器, SEO: 内存 C2 解析, Shellcode 解析, SIMD, SIMD 加速, SSH蜜罐, TLV 解析, Watermarks, XOR 解密, 关键词: beacon, 关键词: config, 关键词: parser, 关键词: SIMD scan, 关键词: static binary, 关键词: zero-copy, 内存安全, 内存解析, 内存转储扫描, 可视化界面, 命令与控制, 哨兵分析, 对抗测试, 属性测试, 开源解析器, 攻击诱捕, 无依赖, 替代 CobaltStrikeParser, 纯 Rust 加密, 网络抓取, 网络流量审计, 进程注入, 通知系统, 零拷贝, 静态二进制, 频谱分析