探索InlineWhispers：在Cobalt Strike中利用直接系统调用的利器

1、项目介绍

InlineWhispers是一个概念验证项目，它将SysWhispers的强大功能引入Cobalt Strike的Beacon Object Files（BOF）中，使你可以直接进行系统调用。这个工具的灵感来源于Outflank的一篇博客，旨在展示如何在BOFs中轻松地使用内联汇编来调用系统调用。

2、项目技术分析

项目的核心在于利用Python脚本InlineWhispers.py，该脚本结合了functions.txt和syscalls.asm，生成一个名为syscalls-asm.h的头文件。这使得开发者可以将特定的系统调用功能集成到他们的项目中。值得注意的是，内联汇编在这里起到了关键作用，但仅限于Mingw-w64编译器，Visual Studio不支持这种方法。

Syscalls.h包含了多个外部函数定义，为了确保编译成功，你需要根据实际需求从该头文件中删除不必要的函数定义。在更新functions.txt并运行InlineWhispers.py之后，你的BOF项目就能无缝集成所需的系统调用了。

3、项目及技术应用场景

这个项目非常适合红队行动和渗透测试人员，他们可以通过编写自定义的Beacon Object Files来规避反病毒软件和端点检测响应（EDR）解决方案。通过直接调用系统内核接口，而不是依赖已知API，攻击者可以在目标系统上实现更隐秘的操作，例如进程注入、权限提升或者网络通信。

此外，它还可用作安全研究和逆向工程的学习资源，帮助理解Windows系统调用的工作原理以及如何在实战环境中应用它们。

4、项目特点

• 灵活性：只需修改functions.txt，即可自定义要使用的系统调用。
• 高效性：利用内联汇编，代码更紧凑，执行速度更快。
• 可扩展性：与SysWhispers兼容，可以适配不同版本的Windows系统。
• 教育价值：为学习和实践系统级编程提供了实际操作的例子。

InlineWhispers与SysWhispers的整合，让开发者能够以一种新颖且隐蔽的方式与操作系统进行交互，对于那些寻求提高红队行动技巧的人来说，这是一个不可多得的工具。观看Raphael Mudge的教程视频，将帮助你更好地理解和使用这个工具，进一步提升你的技术技能。现在就加入，探索直接系统调用的无限可能吧！