克雷班迪特 CredBandit是概念验证的信标对象文件（BOF），它使用静态x64系统调用来执行进程的完整内存转储，并将其通过您现有的信标通信通道发送回去。 内存转储是通过使用NTFS事务完成的，NTFS事务使我们可以将转储写入内存，并且MiniDumpWriteDump API已被ReactOS的MiniDumpWriteDump实现改编所取代。 然后，BOF使用base64对内存中的数据进行编码，将其分块，然后通过您的Cobalt Strike团队服务器将数据发送回去。 通过利用BOF