Cobalt Strike 生成的 Shellcode 主要包括 Stager 和 Stageless 两种类型。

本篇文章主要分析 Cobalt Strike 生成的 Stager 类型的 Shellcode。

本文通过 C 语言从零开始实现一个简单的 HTTP 服务端。这对后续在恶意软件的网络通信分析及在 IOT 漏洞挖掘的学习中都有所帮助。

新手的话，建议在 IDE 环境（如 CLion）下完成后续代码的编写。这样可以在使用一些库函数时，直接查看函数的传参及返回值，方便理解函数及代码编写。

本节为轩辕的编程宇宙公众号《从零开始学逆向》的“IAT Hook”小节的学习笔记。详细课程内容请自行 跳转 加入查看。

在之前的 Maldev 开发课程中，我们已经深入学习过对 PE 文件的结构解析以及导入表（Import Table）的相关机制。这里的 IAT Hook 本质上是一种基于“间接地址寻址”原理的执行流劫持技术。

本节为轩辕的编程宇宙公众号《从零开始学逆向》的“Inline Hook”小节的学习笔记。详细课程内容请自行 跳转 加入查看。

在之前的 Maldev 开发课程中，已经学习过 Hook 原理及代码实现了。当时是通过 Detours 库、MinHook 库实现，或者手动写代码实现 Hook。但当学习《从零开始学逆向》的“Inline Hook”小节时，发现与之前的实现略有差异，新的代码涉及到了对偏移地址的计算，所以这里写一文来对比下与之前的差异。

本节为轩辕的编程宇宙公众号《从零开始学逆向》的“构造函数、析构函数、虚函数的汇编分析”小节的学习笔记。详细课程内容请自行 跳转 加入查看。

本文代码在 VS 2026 - x86 Debug 模式下编译测试完成，汇编指令分析等也均基于 VS 2026 调试时生成的汇编代码。