Quan

1.官方介绍如下
AM0N-Eye 是一个编译了一组最重要的脚本的集合，这些脚本专门为 Cobalt Strike 编写，其他文件如用于修改颜色和图像的 de 文件。所有的知识产权均保留给原始开发者。只需打开 Cobaltstrike.jar 文件，并将其替换为 de 以及 default.cna 和 resources，还有已添加的项目的名称。加入的项目包括 ScareCrow、CrossC2、CSSG-xor、InvokeCredentialPhisher、Registry-Recon、StayKit，这里我将介绍一些 AM0N-Eye 的 TTPs，但不是全部。
    Linux、MacOS 和 Windows 的 C2 服务器
    伪造警报技术
    避免 AV/EDR 的技术
    shellcode 生成器和混淆器
    持久性技术
    新的 BOF
    AV/EDR 侦察
    未被杀毒软件检测到的 PayloadGenerator
    自定义恶意软件
    新的 C2 配置文件
我感觉看着就像是一个利用CS的一些接口爆改CS，并集成了很多市面上的项目组成的。
2.下载地址
下载地址

fsutil file setEOF test.exe 200000000

粗略看了一下，主要是：
1.C#写的，这个本身就可以内存加载
2.可以远程加载PE或是本地加载PE，并且还支持把PE转换成base64然后传参
3.利用GetCommandLineW GetCommandLineA _wcmdln _acmdln 获取命令行参数
后面的回来详细看完以后再继续写

描述如下：
体积在100kb左右，为同类工具体积的几分之一甚至几十分之一
支持大部分常见浏览器，常见聊天软件的信息提取，将陆续添加其他常用工具的信息收集
长期维护，有问题可以及时的反馈处理
使用魔改版本的Donut，缩小shellcode体积，使shellcode兼容.Net Framework v3.5/v4.x，并去除AV/EDR对Donut提取的特征
其中有几个点非常牛逼
1.魔改版本的Donut 看描述很厉害
2.C#写的，并且提供了BOF 这个简直无敌

与常见的利用几个API FindResource , SizeofResource ，LoadResource 来获取释放资源节的资源不同，这个是利用代码来解析的。