文章总结： ccschtask是一款基于CobaltStrikeBOF的权限维持插件，通过WindowsCOM接口实现任务计划功能，支持普通用户权限下快速创建、查询和删除定时任务。该工具采用内存加载执行方式避免文件落地，宣称可绕过火绒、Defender、卡巴斯基等主流杀软检测，适用于红队攻防演练中快速维权场景。文档提供了完整的加载指令和操作示例，并强调需在合法授权范围内使用。 综合评分： 78 文章分类： 渗透测试,红队,免杀,内网渗透,安全工具

丝滑绕过卡巴斯基、Defender！自研 BOF 维权插件 ccschtask 发布

原创

词不达意 词不达意

词不达意安全团队

2026年4月24日 10:31 上海

在小说阅读器读本章

去阅读

声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担，禁止用于任何非法渗透测试，以及无授权违法测试，请遵守中华人民共和国网络安全法。

ccschtask bof插件

ccschtask是一款专为攻防演练开发Cobalt Strike BOF 插件，通过底层的Windows COM接口实现任务计划功能，助力windows下快速维权。

应用场景

钓鱼上线后通过任务计划快速维权，先避免机子掉了，后续再考虑更加OPSEC的权限维持方案，插件通过Bof运行，直接在内存中加载执行不落地，具备良好免杀效果，可绕过绝大部分AV/EDR添加任务计划。

使用教程

加载插件

加载ccschtask.cna脚本，普通用户权限即可添加任务计划，无需管理员。

创建任务计划

使用add创建任务计划，<task name>为任务名字，<command>为运行程序路径，[minutes]可选参数，自定义每多少分钟触发定时任务，不填则默认每10分钟执行一次。

ccschtask add <task name> <command> [minutes]
ccschtask add test&nbsp;C:\Users\Public\a.exe

查询任务计划

使用query查询任务计划详情，如下次运行时间，运行程序路径信息。

Usage: ccschtask query <task name>
Example: ccschtask query test

删除任务计划

使用remove删除任务计划，方便演练结束清理攻击痕迹。

Usage: ccschtask remove <task name>
Example: ccschtask remove test

规避效果

B站视频演示：

   https://www.bilibili.com/video/BV1nqoTB8EuV/

目前测试创建任务计划可绕过火绒/Defender/卡巴斯基/赛门铁克/Trellix，其他av、edr自测（~~360核晶就没必要试了，包拦截~~）。

纷传介绍

工具文件加入纷传获取，圈子专注红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透。

圈子往期文件内容如下

• •冲锋马一键生成工具（一键生成免杀loader）
• •lnk文件一键生成工具（一键生成免杀钓鱼lnk文件）
• •bypass内存扫描插件（可绕过火绒、卡巴斯基等杀软内存扫描cs插件）
• •暗涌在线免杀平台（白文件patch免杀loader（分离、单文件）一键生成平台、支持反沙箱）
• •bypass任务计划工具（普通权限可添加、钓鱼快速免杀维权）
• •后渗透工具免杀（petobin，分离加载避免静态落地被秒）
• •BYOVD攻击一键结束赛门铁克进程
• •BinPatch免杀工具过国内主流杀软
• •白影(whiteShadow)自动化白加黑免杀工具v1.0
• •白影(whiteShadow)自动化白加黑免杀工具v2.0
• •Windows恶意软件常见API一览（PDF）
• •Maldev Academy 恶意软件开发完整课程（源码+VM镜像）
• •SplitRun一款exe免杀工具v1.0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：词不达意安全团队 词不达意 词不达意《丝滑绕过卡巴斯基、Defender！自研 BOF 维权插件 ccschtask 发布》