文章总结： 本文介绍了SharkBOF，这是一款专为CobaltStrike设计的无文件内存加载器，通过BOF技术将fscan扫描引擎注入目标进程，实现不落地、不开启新进程的隐蔽内网测绘。该工具利用Beacon的inline-execute机制处理PE解析与多线程调度，能回传端口及漏洞检测结果，具备OPSEC优势。文章展示了其免杀效果，但最终指向付费社群以获取工具源码及后续资源。 综合评分： 60 文章分类： 红队,内网渗透,安全工具,免杀

工具 | fscan内存加载BOF

原创

SharkSec

SharkSec

2025年12月30日 18:39 湖南

🔔 温馨提示：为了防止走散，不错过每一篇干货内容，请记得将公众号设置为星标！🌟

【声明】本文技术、思路及工具仅用于合法安全测试与防御研究，严禁用于非法入侵、攻击他人系统或盈利等违法违规行为，一切后果由操作者自行承担，作者及团队不承担任何连带责任。

一、工具介绍&使用

SharkBOF 是专为 Cobalt Strike 设计的“无文件”内存加载器，以 BOF形态将 fscan 内网扫描引擎完整注入目标进程，实现“不落地、不启动新进程、不留扫描文件”的极速横向信息收集。它通过 Beacon 的 inline-execute 执行，自动完成 PE 解析、重定位、导入表修复及多线程调度，让 fscan 的全部端口、服务、弱口令与漏洞检测能力在内存中静默展开，输出结果直接回传 Beacon，为红队提供高效、隐蔽、可 OPSEC 的内网测绘方案。

使用方式，直接将shark.bof导入到CS中，然后选择会话：

二、测试效果

其他的杀软就不一一测试了。

本次涉及工具后续整理同步至纷传，感兴趣的师傅直接在纷传上获取即可。

如果大家对我们的文章技术有什么建议或者工具使用上的反馈，都欢迎大家在评论区留言交流。对我们分享的文章感兴趣，想要深入探讨、交流并学习更多相关内容，也欢迎各位师傅加入官方技术交流群!!!（关注公众号，点击菜单栏：联系我们->技术交流群，添加管理员微信，备注【加群】，拉您进群）

加入圈子，一起进阶！

我们圈子已平稳运营一段时间啦，后续也会持续为大家输送高质量的实战资源：有一线团队的一手攻防经验、私有工具源码（包括咱们公众号发的工具，圈子里能直接拿源码 + 持续迭代），还有漏洞挖掘的 POC/EXP、每月不定期 0day 分享，hw实战攻防遇见高频oa/设备源码都能在这拿到。

对了，圈子里还有些「刚需资源」：FOFA 的 Key 长期能用，Cursor Pro 共享账号登了就能用； 企业 SRC 案例、红队实战经验也会拆解着讲。

现在圈子现价 119 / 人，等满 100 人就涨到 129 了 —— 入了圈子还能进专属内部群，比咱们公开交流群的资源更新更实时、讨论也更深度。

纷传和知识星球内容是同步的，后期主要运营纷传，所以想进圈子的朋友直接扫描下方二维码就可以啦~

结束

👉 点击关注不迷路，一起潜入深水区，突破边界，共同精进！🚀

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SharkSec SharkSec《工具 | fscan内存加载BOF》