❓ Почему выбирают OpenConnect?

• Во-первых, в отличие от OpenVPN, IPSec и WireGuard, OpenConnect выглядит как обычное HTTPS-подключение. Его трафик труднее заметить и заблокировать, что важно в средах с активным перехватом.

• Во-вторых, OpenConnect работает на всех популярных платформах: Windows, Linux, macOS, Android, iOS. Защита от активного сканирования тоже в комплекте.

➡️ Сравним с MS SSTP: серверная часть OpenConnect под Linux более производительная. При отсутствии блокировок он может использовать DTLS поверх UDP для лучшей производительности. SoftEther тоже добавляет UDP, но DTLS — проверенный временем протокол, используемый, например, в WebRTC.

⚙️ Настройка OpenConnect на клиентах проста: нужно только указать URL сервера, имя пользователя и пароль. Поддержка LDAP, Radius и Active Directory для авторизации тоже есть.

Читать полностью…

#вакансия

🚀 Проектная работа
💰 Сдельная оплата
📆 Свободный график

🚩 Специалист по созданию заданий для CTF Attack Defense по веб-безопасности

Обязанности:
— Разработка и создание сценариев для заданий по веб-безопасности в рамках CTF-соревнований формата Attack Defense.
— Подготовка и внедрение атакующих и защитных сценариев, моделирование различных уязвимостей и методов их эксплуатации.
— Тестирование и верификация разработанных сценариев, обеспечение их корректной работы.
— Разработка и поддержка чекеров для автоматической проверки выполнения заданий.
— Создание подробных инструкций и документации по заданию.

Требования:
— Опыт участия в CTF-соревнованиях, понимание формата Attack Defense.
— Глубокие знания о распространенных уязвимостях веб-приложений (OWASP Top 10) и способах их эксплуатации.
— Знание одного из языков программирования: Go (Golang), Python, PHP, Java.
— Опыт работы с инструментами для тестирования безопасности (Burp Suite, OWASP ZAP и др.).

➡️Писать @StPoV

Читать полностью…

🔍 Что такое IDOR (Insecure Direct Object References)?

⌛ Данный вид уязвимости является следствием недостаточной проверки пользовательских данных. Суть ее заключается в том, что при выводе каких-либо конфиденциальных данных, например личных сообщений или учетных карточек клиентов, для доступа к объекту используется идентификатор, который передается в открытом виде в адресной строке браузера.

Пример такого запроса:

codeby.net/message_dialog.jsp?id=313

Благодаря тому что мы можем менять значение параметра id, мы можем видеть диалог между пользователями. 😮

📎 Такая «уязвимость» практиковалась в lightshot* — одни пользователи могли просматривать скриншоты других.

*программа для создания скриншотов

Читать полностью…

☄️ Индийская криптобиржа WazirX подверглась взлому, похищено криптоактивов на сумму более $230 миллионов.

🗣️ Представители WazirX заявили, что атака произошла из-за несоответствия между данными в интерфейсе Liminal и реальным содержимым транзакции. Они считают, что пейлоад был подменен, чтобы злоумышленник получил контроль над кошельком.

🔗 По данным Lookchain, украдены:

• 5,43 млрд токенов SHIB
• 15 200 токенов Ethereum
• 20,5 млн токенов Matic
• 640 млрд токенов Pepe
• 5,79 млн USDT
• 135 млн токенов Gala

➡️ Хакеры пытаются конвертировать активы на Uniswap. Специалисты Elliptic считают, что злоумышленники могут быть связаны с Северной Кореей. Это второй по величине взлом в этом году после атаки на японскую биржу DMM Bitcoin.

#новости

Читать полностью…

Готовы сразиться за кибербезопасность города N?

8-10 сентября в Казани — ТРЕТЬЯ ВСЕРОССИЙСКАЯ СТУДЕНЧЕСКАЯ КИБЕРБИТВА

Попробуй себя в роли настоящего хакера или киберзащитника!

Кибербитва — это всероссийское ИБ-соревнование, где команды из ведущих вузов могут испытать свои силы в условиях, максимально приближенных к реальности.
Команда красных будет реализовывать кибератаки на инфраструктуру, а синие — выявлять инциденты ИБ.

Требования к участникам:
🟠Студенты или аспиранты вузов
🟠Опыт в прошлых кибербитвах или CTF-соревнованиях
🟠Сложившиеся команды от 5 до 10 человек
🟠Интерес к ИТ и кибербезопасности

Собери команду единомышленников, регистрируйся на сайте кибербитвы и проходи экспертный отбор от ведущих специалистов России.

Задача Innostage — дать будущим ИБ-специалистам площадку, где они на практике могут испытать свои силы. Лучшие игроки кибербитвы получают шанс запомниться судьям и присоединиться к топовым ИБ-компаниям России.

Призовой фонд кибербитвы — 200 000 рублей.

Регистрация команд продлена до 02 августа. Количество мест ограничено, так что поторопитесь!

ПРИНЯТЬ УЧАСТИЕ

Читать полностью…

🛡 Зловред под видом блокировщика рекламы

Новость от ESET: обнаружен зловред HotPage, замаскированный под блокировщик рекламы, активный с конца 2023 года.

🗣️ Этот софт загружает драйвер ядра, позволяющий злоумышленникам запускать код с привилегиями на Windows. Инсталлятор устанавливает драйвер и две библиотеки, перехватывающие сетевой трафик браузеров.

❓ Возможности вируса:

• Изменять содержимое страниц
• Перенаправлять пользователя
• Открывать новые вкладки по заданным критериям
• Собирает и передает системную информацию на сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd.

Читать полностью…

⚠️ Как обнаружить SQL-уязвимость?

Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.

Что ждет вас на курсе?
🌟 Всё об SQL: от базового синтаксиса до продвинутых техник
🌟 Внедрение SQL-кода в уязвимые приложения
🌟 Раскрутка SQL-инъекций вручную и софтом
🌟 Методы атак через SQL-инъекции: как их обнаруживать и эксплуатировать
🌟 Изучение инструментов автоматизации процесса поиска уязвимостей
🌟 Разработка стратегий защиты ваших веб-приложений от потенциальных угроз

Запись до 25 июля. Продолжительность - 3 месяца

🥇 Сертификат / удостоверение о повышении квалификации

➡️ Узнайте подробнее о курсе или напишите нам — @Codeby_Academy

Читать полностью…

В новой статье найдем подход к обработке больших объемов данных в .csv файлах с различной структурой столбцов и содержимым. Это может быть особенно полезно для тех, кто сталкивается с необходимостью нормализации данных перед их дальнейшим анализом или использованием в проектах.

❓ Задача:

Обработать несколько .csv файлов и нормализовать содержимое столбцов таким образом, чтобы данные были одного формата. Например, привести номер телефона из формата "8 (908) 800 80 80" к виду "79088008080".

Для этого используем комбинацию предварительной обработки файлов с помощью EmEditor и написания скрипта на Python для дальнейшей нормализации данных.

✔️ Обработка текста Ф.И.О.
Для нормализации данных в столбцах с Ф.И.О. можно использовать функции Python для работы со строками. Например, можно написать функцию, которая удаляет лишние символы, заменяет латинские буквы на русские (если это необходимо), и нормализует формат Ф.И.О., удаляя лишние пробелы и тире.

✔️ Нормализация номера телефона
Для приведения номеров телефонов к единому виду можно использовать регулярные выражения или специальные функции Python. Например, можно удалить все нецифровые символы и добавить префикс, если он отсутствует.

✔️ Нормализация адреса электронной почты
Адреса электронной почты также могут требовать нормализации. Это может включать в себя удаление лишних символов, проверку наличия символа "@", а также доменной части адреса.

✔️ Нормализация даты рождения
Дата рождения может быть представлена в различных форматах. Для ее нормализации можно использовать модули Python для работы с датами и временем, такие как datetime. Это позволит привести даты к единому формату.

🖥 Например:

import re
import string

def fio_normalize(fio: str) -> str:
    """Нормализация ФИО. Проверка, является или ФИО написанным латиницей. Удаление цифр, тире."""
    fio = fio.strip().lower()
    fio = re.sub(r'[^a-zа-я-ё ]', "", fio).strip()
    fio = dash_clear(fio)
    if is_latin(fio):
        fio = fio.title()
    else:
        fio = "".join([replacer(x) if x in string.ascii_letters else x for x in fio])
        fio = re.sub(r'[^а-я-ё ]', '', fio).title()
    return fio if fio.strip() else ""

➡️ Читать подробнее

Читать полностью…

Что такое LFI/RFI(Включение локального файла/Удаленное включение файла)?

🔴 Удаленное включение файла: файл загружается с удаленного сервера
🔴 Включение локального файла: сервер загружает локальный файл

Уязвимость возникает, когда пользователь может каким-либо образом контролировать файл, который будет загружен сервером.

‼️ Уязвимые функции PHP:

require, require_once, include, include_once.

Пример payload'a:

https://codeby.ex/?data=../../../../etc/passwd

*👩‍💻 Полный список Payload'ов есть в /usr/share/wordlists/... (Kali linux)

Вывод:

Содержимое файла passwd

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Слово за слово и Холмы

🕵️ Категория Форензика — Гул Земли 2

🏆  Категория Квесты — Возрождение

Приятного хакинга!

Читать полностью…

Что такое SST(Server-side template injection)?

👩‍💻 Уязвимость, которая возникает, когда злоумышленник может внедрить вредоносный код в шаблон, который выполняется на сервере. Давайте рассмотрим пример, демонстрирующий уязвимый фрагмент кода с использованием Jinja:

output = template.render(name=request.args.get('name'))

‼️ В этом уязвимом коде параметр имени из запроса пользователя напрямую передается в шаблон с помощью функции "рендеринга". Потенциально это может позволить злоумышленнику внедрить вредоносный код в параметр имени, что приведет к внедрению шаблона на стороне сервера.

👩‍💻 Payload {{плохой код}} вводится в параметр имени.

Пример payload'а:

https://codeby.ex/?user={{7*7}}

Вывод:

49

Читать полностью…

Новый курс от Академии Кодебай! 😎

Друзья, всех приветствую! Меня зовут Денис Соколов, и я старший архитектор по информационной безопасности и автор курса «Профессия Пентестер».

Как понятно из названия, это комплексное обучение по тестированию на проникновение, в ходе которого вы поработаете в лабораториях, получите практические навыки в сфере этичного хакинга, разберетесь, что такое Kill Chain, научитесь проводить внутреннее и внешнее тестирование на проникновение.

Если хотите сделать свой шаг в сфере наступательной кибербезопасности и BugBounty — буду ждать Вас на своем курсе!

🔸Старт курса 22 июля.

⌨️ Узнать подробнее

Читать полностью…

⚡️ Первое полугодие 2024 года показало, что более 11 миллиардов долларов США было потеряно из-за инцидентов в области кибербезопасности в сфере Web3. Это произошло благодаря 408 инцидентам безопасности в цепочке блоков, где каждый инцидент обходился жертве примерно в 2,9 миллиона долларов США. 😮

Самыми популярными методами атаки оказались:
🔸фишинг (150 инцидентов, 497,7 млн долларов США)
🔸компрометация приватных ключей (42 инцидента, 408,9 млн долларов США)

❓ А вот кто был в центре внимания злоумышленников?
Эфириум занял лидирующую позицию с 222 инцидентами и убытками в размере 315 млн долларов США. А Биткоин, хоть и был атакован всего один раз, но это стоило ему 304 млн долларов США. 💵

В общем, 2024 год начался с серьезного удара по кибербезопасности в сфере Web3. Но что нас ждет дальше? 🛡

Что думаете о текущем состоянии кибербезопасности в сфере Web3? Какие меры защиты вы считаете наиболее эффективными?

#новости

Читать полностью…

🖥 Во второй статье о PE-файлах мы продолжим изучение внутренней структуры исполняемых файлов Win-NT — секции и оверлеи.

Если в первой части мы говорили о заголовках, то теперь настало время заглянуть внутрь самого бинарника и разобраться с его составляющими.

📎 Таблица секций «Image Section Table»
Разберёмся, что такое секции и страницы, и как они взаимодействуют. Оказывается, компиляторы определяют размер секции как 512 байт, а размер страницы в виртуальной памяти ОС – 4 КБ. Такая двойственность создаёт сложности для системного загрузчика, но об этом – подробнее в статье.

✉️ Сколько секций может быть в PE-файле?
Ограничение на количество секций? В спецификации PECOFF об этом ничего не сказано, но есть мнение, что на NT4 был лимит в 96 секций. Мы проверим это на практике, создав приложение с максимально возможным количеством секций. Используя макросы ассемблера FASM, мы создадим до 55 000 секций и посмотрим, как на это реагируют различные инструменты и отладчики.

🎮 Проецирование одной секции на две страницы
Мы также рассмотрим интересный приём – проецирование одной секции сразу на несколько виртуальных страниц. Этот трюк когда-то ставил в тупик большинство дизассемблеров, но со временем они научились с этим справляться. Тем не менее, возможность такая есть, и мы её подробно разберём.

Мы создадим нуль-пространственный туннель между двумя страницами, когда изменения в одной странице будут мгновенно отображаться на другой. Это можно использовать для сокрытия критически важных блоков кода, например, процедур проверки контрольных сумм или паролей.

📌 Практика!
Для демонстрации мы напишем простой код проверки пароля и изменим Raw-адрес секции, чтобы проверить, как системный загрузчик справится с проецированием. Мы увидим, что изменения в одной странице отображаются в другой, подтверждая теорию.

К теме импорта мы вернёмся в следующей части. Импорт в PE-файлах – это сложная и запутанная тема, требующая отдельного внимания. Не пропустите!

⬇️ Читать подробнее

Читать полностью…

🆕 Обновление на платформе Codeby Games!

🟢Добавлена вкладка «Активность» - теперь вы можете отслеживать свой прогресс прямо в профиле.

🟢Переработанный интерфейс - навигация на платформе стала проще и быстрее, с обновленным дизайном и улучшенной структурой.

Приятного хакинга!

➡️ https://codeby.games

Читать полностью…

📱 Уязвимость EvilVideo в Telegram

➡️ Эксперты из ESET выявили уязвимость нулевого дня в Telegram для Android, названную EvilVideo.

• Уязвимость: Позволяла злоумышленникам отправлять вредоносные APK-файлы, замаскированные под видео.
• Эксплоит: Продавался хакером Ancryno с 6 июня 2024 года.
• Затронутые версии: Telegram для Android 10.14.4 и старше.

🗣️ Пока неизвестно, использовалась ли уязвимость в реальных атаках. Однако, обнаружены связанные с ней вредоносные APK-файлы, маскирующиеся под Avast Antivirus или xHamster Premium Mod.

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

👩‍💻  Категория Active Directory — Путешественник

🎢 Категория Разное — Змеелов

🔎 Категория OSINT — Окунемся в историю?

Приятного хакинга!

Читать полностью…

🛡 Whonix 17.2: Анонимность и защита данных

➡️ Вышел Whonix 17.2 — дистрибутив на базе Debian GNU/Linux, использующий Tor для анонимности. Распространяется под GPLv3. Доступны образы для VirtualBox (2.1 ГБ с Xfce и 1.4 ГБ консольный) и KVM.

✔️ Проект защищает от утечки IP-адреса и данных. Не запускайте Whonix-Workstation и Whonix-Gateway на одном компьютере для предотвращения уязвимостей.

#новости

Читать полностью…

Что такое CMD Injection (Command Injection) ❓

👩‍💻 Command Injection - это одна из разновидностей внедрения кода. Её особенностью является выполнение несанкционированных команд операционной системы на удалённом сервере через уязвимое приложение.

👩‍💻 Пример уязвимого кода на языке PHP:

<?php
if (isset($_GET['filename'])) {
    system("touch /codeby/" . $_GET['filename'] . ".cdb");
}
?>

Если мы используем специальные символы, то фильтрация входных данных будет нарушена.

`command`​
$(command)

Тем самым system выполнит нашу команду.

🖥 Пример payload'a:

`ls`
$(ls)

Читать полностью…

🆕 Обновление на платформе Codeby Games!

Подписка Basic:

1. Доступ к райтапам
Вы получаете доступ к авторским подробным инструкциям по задачам после их решения. Это поможет вам лучше понять, как решать задания и улучшить свои навыки в области кибербезопасности.

2. VPN-конфигурации (изолированные серверы)
Доступ к изолированным VPN-серверам для выполнения заданий. Это обеспечивает более безопасное и стабильное соединение.

3. Доступ к заданиям, находящихся в архиве (retired)
Возможность проходить архивные задачи, которые были загружены на платформу более пяти месяцев назад, но теперь доступны только по подписке Basic.

Стоимость подписки символическая - 990р. Вы получаете не только доступ к новому функционалу и полезным материалам, но и окажете необходимую для нас поддержку.

Приятного хакинга!

➡️ https://codeby.games

Читать полностью…

🛠 Профилактические работы

Сегодня, 23 июля, с 16:00 до 18:00 по мск в связи с профилактическими работами платформа Codeby Games будет недоступна.

Время окончания является ориентировочным и может быть изменено.

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Плотная маскировка

🧰 Категория PWN — Вопрос

🌍 Категория Веб — Игровой автомат

Приятного хакинга!

Читать полностью…

Курс "Профессия Пентестер" стартует 22 июля!

- Научитесь атаковать сети, WEB-сайты, операционные системы и локальные устройства и проводить внутренний и внешний пентест
- Участвуйте в BugBounty программах или постройте карьеру в сфере информационной безопасности

Полный цикл обучения:
- от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
- от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Хотите стать пентестером? Присоединяйтесь к нам – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

Пишите нам @Codeby_Academy или Узнайте подробнее о курсе

Читать полностью…

Трюки с таблицей импорта РЕ-файла 🖱

Сегодня мы разберем техники манипуляций с таблицей импорта в PE-файлах. Эта статья для тех, кто хочет на практике понять, как работают исполняемые файлы и как можно использовать это знание для защиты своего кода от анализа. 🛡

✔️ Общее положение дел с импортом: Изучим основы анализа исполняемых файлов, особенно в контексте импорта API из системных DLL. Посмотрим, как различные инструменты и процессы взаимодействуют с файлами на диске и в памяти, и как это влияет на анализ.

✔️ Импорт API по ординалу: Разберемся, как использовать порядковые номера (ординалы) для импорта функций, что позволяет скрыть использованные функции от инструментов анализа. Узнаем, как это работает и какие ловушки ждут нас на этом пути.

✔️ Ошибки в реализации дескрипторов импорта: Исследуем возможности манипуляции с таблицей импорта, включая удаление и замену записей, чтобы сделать анализ файла еще более сложным для инструментов анализа.

📌 Читать подробнее

#pe_file #ordinal #iat

Читать полностью…

⚠️ Как взломать корпоративный сайт с помощью мобильного приложения и OSINT?

🖥 В этой статье мы расскажем историю о том, как автор использовал методы OAST и OSINT для взлома корпоративного портала и мобильного приложения компании.

🛡 Процесс начался с анализа трафика мобильного приложения через Burp Suite, что привело к открытию формы восстановления пароля. Изучение кода приложения позволило найти скрытые данные, включая номер телефона и пароль, которые стали ключом к дальнейшим действиям.

🔍 Использование методов OSINT помогло идентифицировать сотрудника компании, у которого были необходимые данные для сброса пароля и доступа к системе. Этот случай демонстрирует, как даже сложные системы могут быть взломаны с помощью творческого подхода и глубоких знаний в области безопасности.

Подготовьтесь к тому, что безопасность никогда не будет статичной, и всегда будут новые вызовы и возможности для исследования.

➡️ Читать подробнее

➡️ Стать мастером OSINT здесь

Читать полностью…

В третьей части цикла статей про PE-файлы мы поговорим об импорте в PE-файлах. Узнаем, как правильно искать уязвимости и что стоит учитывать при анализе.

❓ Помните ли вы времена, когда Win95 только вышла, и все работало на процессорах i386 с тактовой частотой около 40 МГц? Разработчики PE-формата тогда придумали три способа, как справиться с импортом API из системных dll:

1. Статический импорт "Bound": Компилятор прописывает имена библиотек и адреса API в программу. Это экономит время на загрузку, но может привести к краху приложения, если версии библиотек изменятся.

2. Динамический импорт: Универсальный подход, где адреса функций вычисляются загрузчиком после загрузки программы в память. Да, это медленно, но зато надёжно.

3. Отложенный импорт "Delay": Загружаем функции только тогда, когда они реально нужны. Это сокращает время первоначальной загрузки, но может замедлить выполнение программы.

🕯 Структура и иерархия импорта

Система импорта в PE-файлах - это настоящая иерархия. Начало этой иерархии лежит в каталоге DATA_DIRECTORY. В центре внимания всегда находится таблица адресов IMPORT_ADDRESS_TABLE (IAT), независимо от выбранной схемы импорта. Интересный момент: поле TimeDataStamp играет важную роль в процессе импорта.

🗓 Основная таблица "Image Import Table"

Каталог начинается с нуля, а сам каталог является частью опционального заголовка. Здесь содержится массив дескрипторов, каждый из которых описывает импорт из одной dll. Поле OriginalFirstThunk указывает на начало IMPORT_LOOKUP_TABLE, где лежат 32-битные значения для каждой функции API. Интересный момент: если старший бит взведён, то это ординал (номер) функции в экспорте dll, иначе это RVA-адрес записи с именем функции.

📎 Статический импорт и его тонкости

Старый добрый статический импорт использует поле TimeDataStamp для проверки валидности связывания. Если всё хорошо, загрузчик продолжает работу, если нет - переходит к динамическому импорту. В более новой схеме Bound, информация о связывании хранится в таблице, на которую указывает запись каталога Bound. Важно отметить, что поле TimeStamp в дескрипторе импорта указывает на тип связывания: 0 - динамический импорт, -1 - новая схема Bound, и все остальные значения - старая схема.

💡 РЕ32+ без импорта

Заглянем в схемы импорта «Bound» и узнаем, как можно создавать приложения без секции импорта вообще. Представьте, никакого импорта — чистый хардкор! 🥇
Это возможно благодаря тому, что ОС проецирует Kernel32 и Ntdll.dll во все пользовательские процессы. Главная задача - найти базу Kernel32, пробраться к её экспорту и вытащить оттуда адреса всех необходимых API.

➡️ Читать подробнее

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

⚙️ Категория Реверс-инжиниринг — Ржавый ARM

🕵️ Категория Форензика — Осторожнее с доверием

🌍 Категория Веб — Crawler

Приятного хакинга!

Читать полностью…

Привет, Кодебай! 😎

Сегодня расскажем про yay 👩‍💻👩‍💻
yay - утилита, которая загружает исходный код программ с AUR сразу из терминала. Она полезна, если нужного приложения нет в официальных репозиториях. (Например, YandexBrowser)

👩‍💻 Как установить:

git clone https://aur.archlinux.org/yay.git 
cd yay 
makepkg -sri

‼️ Что делать, если возникла ошибка?

sudo pacman -Sy fakeroot base-devel

Использование:

yay [НАЗВАНИЕ ПАКЕТА] 
#Вам будет предложен список из доступных программ, выбирайте необходимую и дождитесь установки

#инструменты #гайды

Читать полностью…

Как компании могут решать задачи по безопасности, когда дело касается их приложений?

Алексей Миртов, руководитель группы продуктов Security & Compliance в Yandex Cloud, и Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, снова разбираются, как выстроить безопасную работу в облаке.
В новом выпуске подкаста «Безопасно говоря» ведущие поговорили об инструментах защиты приложений и их значимости для бизнеса с Антоном Антоничевым, ИТ-директором «METRO Россия», и Владимиром Прокопенко, экспертом по технической защите R-ONE.

➡️ Послушать выпуск можно по ссылке.

Читать полностью…

⚡️ ASM. РЕ файл – ломаем стереотипы

В первой статье этого цикла мы разберем РЕ-файлы — сердце любого Windows-приложения.

🔗 Почему формат РЕ практически не менялся за 40 лет?
📍 Какие изменения произошли с приходом 64-битной архитектуры?
🔥 Почему Microsoft избегает внесения крупных изменений в этот формат?

Начнем с основ PE и постепенно перейдем к более сложным аспектам, включая анализ вредоносного ПО.

⚠️ Основная проблема? Отсутствие ясных документов по загрузчикам. Так что прямой реверс ядра тут не поможет — слишком много строк кода в Ntoskrnl.exe и Ntdll.dll, и без руководств разобраться в них непросто.

⭐️ Какая стратегия? Практический анализ с помощью отладчика WinDbg и его "братий". И самое интересное, мы выбрали "схему отрицания": если в спецификации утверждается что-то общеизвестное, мы считаем это ложью и проверяем на самом деле.

Например, Microsoft говорит, что максимум 96 секций в файле. Но что, если это не так? Заголовок указывает на поле размером word = 65.536. И так далее...

🔒 А так же — изучим функциональность таких инструментов, как PEview, FileAlyzer, CFF Explorer и других, чтобы понять, как они помогают нам анализировать и безопасно работать с PE-файлами. Подготовимся к тому, как зловещие руки вредоносного ПО используют эти знания для скрытия своих действий.

⌛ Читать подробнее

Читать полностью…