如何使用WindowSpy实现对目标用户的行为监控

关于WindowSpy

WindowSpy是何使户一个功能强大的Cobalt Strike Beacon对象文件，可以帮助广大研究人员对目标用户的实现行为进行监控 。该工具的对目主要目标是仅在某些目标上触发监视功能，例如浏览器登录页面、标用敏感文件  、源码库监控vpn登录等。何使户目的实现是通过防止检测到重复使用监视功能（如屏幕截图）来提高用户监视期间的隐蔽性 。

除此之外，对目该工具还能够大大节省红队研究人员在筛选用户监控数据时所要花费的标用时间 。

工具运行机制

每次检测到Beacon之后，模板下载监控BOF都会在目标上自动运行。何使户BOF附带了一个硬编码的实现字符串列表 ，这些字符串在窗口标题中很常见，对目例如登录  、标用管理员 、监控控制面板、vpn等。我们可以自定义此列表并重新编译。亿华云它枚举可见的窗口 ，并将标题与字符串列表进行比较 ，如果检测到其中任何一个，它将触发WindowSpy.cn中定义的名为spy()的本地aggressorscript函数 。默认情况下，它会进行屏幕截图。源码下载我们可以根据需要自定义此功能，例如按键记录、WireTap、网络摄像头等。

spy()函数支持接收一个参数 ，即$1（触发该行为的Beacon ID） 。

工具安装

首先，广大研究人员需要使用下列命令将该项目源码克隆至本地：

复制git clone https://github.com/CodeXTF2/WindowSpy.git1.

接下来，香港云服务器将项目中的WindowsSpy.cna脚本加载进Cobalt Strike即可。

源码构建

首先 ，在Visual Studio中打开WindowSpy.sln解决方案文件 
。

然后针对目标BOF（x64/x86）构建代码即可。

工具使用

加载完成之后，每当检测到Beacon时该工具都会自动运行，并相应地触发对应的操作。建站模板

项目地址

WindowSpy：【GitHub传送门】