CobaltStrikeScan

扫描文件或进程内存中的Cobalt Strike信标并解析其配置。
CobaltStrikeScan 会扫描 Windows 进程内存，查找 DLL 注入（经典注入或反射注入）的证据，并对目标进程内存执行 YARA 扫描，以检测 Cobalt Strike v3 和 v4 信标的签名。
或者，CobaltStrikeScan 可以对通过命令行参数提供的绝对路径或相对路径的文件执行相同的 YARA 扫描。
如果在文件或进程中检测到 Cobalt Strike 信标，将解析并显示该信标的配置信息。