🔥 Справочник функций Windows API охватывает такие темы, как операции с файлами, управление процессами, памятью, потоками, синхронизацией, динамическими библиотеками, реестром и сетевыми функциями (Winsock)!
🖥 Github (https://github.com/7etsuo/windows-api-function-cheatsheets)
@linux_education
🖥 Github (https://github.com/7etsuo/windows-api-function-cheatsheets)
@linux_education
🥷 FullBypass — это инструмент, который помогает обходить интерфейс сканирования антивирусов (AMSI) и ограниченный режим языка PowerShell (CLM), предоставляя полноценную обратную оболочку PowerShell!
🔐 Лицензия: GPL-3.0
🖥 Github (https://github.com/Sh3lldon/FullBypass)
@linux_education
🔐 Лицензия: GPL-3.0
🖥 Github (https://github.com/Sh3lldon/FullBypass)
@linux_education
⚡️ PowerShell-Hunter – это проект с открытым исходным кодом, созданный для помощи в обнаружении вредоносной деятельности с использованием PowerShell.
Он включает в себя набор утилит, каждая из которых нацелена на конкретный тип данных или событий:
Анализ события PowerShell 4104: PowerShell генерирует огромное количество логов, и событие 4104 часто используется злоумышленниками для выполнения вредоносного кода. Этот инструмент помогает фильтровать «шум» и выявлять подозрительные случаи с помощью заранее настроенных детекторов, системы оценки риска и удобных форматов экспорта данных (CSV, JSON).
Поиск угроз в Active Directory: Этот инструмент предназначен для мониторинга активности в инфраструктуре Active Directory. Он помогает выявлять атаки типа «password spray», brute force и другие аномалии, используя временной анализ и визуальное представление данных.
Анализ MRU (наиболее недавно использованных): Изучает записи реестра Windows, чтобы выявить недавно использованные файлы и приложения. Такой анализ позволяет восстановить хронологию действий пользователя и выявить потенциально подозрительную активность.
Анализ BAM (модератор фоновой активности): Инструмент для извлечения и анализа данных о фоновом запуске приложений. Он помогает сопоставлять действия с пользователями и обнаруживать аномалии в поведении программ.
Анализ PCA (ассистент совместимости программ): Позволяет отслеживать историю запуска приложений через логи PCA, что может помочь в реконструкции цепочки событий при инцидентах.
Анализ реестра UserAssist: Декодирует и анализирует записи реестра UserAssist, раскрывая, какие приложения и когда запускались, что имеет критическое значение для судебной экспертизы.
Анализ Prefetch Hunter: Позволяет исследовать файлы Prefetch Windows для определения истории выполнения программ, выявления подозрительных бинарных файлов и поиска аномалий во времени запуска.
Зачем это нужно?
В современных условиях злоумышленники часто используют встроенные инструменты Windows, такие как PowerShell, чтобы обходить традиционные системы защиты. Однако именно детализированное логирование и разнообразие источников данных позволяют обнаружить даже хорошо замаскированные атаки. PowerShell-Hunter объединяет эти источники и предоставляет:
Глубокий анализ событий: Инструменты позволяют фильтровать большие объёмы данных, выявляя важные паттерны.
Эффективность и производительность: Инструменты оптимизированы для быстрого анализа тысяч событий.
Гибкость: Возможность экспорта результатов в различных форматах (CSV, JSON, HTML) для дальнейшей обработки.
Расширяемость: Лёгкая интеграция с другими инструментами и возможность добавления собственных шаблонов детектирования.
Основные требования и возможности:
▪ Github (https://github.com/MHaggis/PowerShell-Hunter)
@linux_education
Он включает в себя набор утилит, каждая из которых нацелена на конкретный тип данных или событий:
Анализ события PowerShell 4104: PowerShell генерирует огромное количество логов, и событие 4104 часто используется злоумышленниками для выполнения вредоносного кода. Этот инструмент помогает фильтровать «шум» и выявлять подозрительные случаи с помощью заранее настроенных детекторов, системы оценки риска и удобных форматов экспорта данных (CSV, JSON).
Поиск угроз в Active Directory: Этот инструмент предназначен для мониторинга активности в инфраструктуре Active Directory. Он помогает выявлять атаки типа «password spray», brute force и другие аномалии, используя временной анализ и визуальное представление данных.
Анализ MRU (наиболее недавно использованных): Изучает записи реестра Windows, чтобы выявить недавно использованные файлы и приложения. Такой анализ позволяет восстановить хронологию действий пользователя и выявить потенциально подозрительную активность.
Анализ BAM (модератор фоновой активности): Инструмент для извлечения и анализа данных о фоновом запуске приложений. Он помогает сопоставлять действия с пользователями и обнаруживать аномалии в поведении программ.
Анализ PCA (ассистент совместимости программ): Позволяет отслеживать историю запуска приложений через логи PCA, что может помочь в реконструкции цепочки событий при инцидентах.
Анализ реестра UserAssist: Декодирует и анализирует записи реестра UserAssist, раскрывая, какие приложения и когда запускались, что имеет критическое значение для судебной экспертизы.
Анализ Prefetch Hunter: Позволяет исследовать файлы Prefetch Windows для определения истории выполнения программ, выявления подозрительных бинарных файлов и поиска аномалий во времени запуска.
Зачем это нужно?
В современных условиях злоумышленники часто используют встроенные инструменты Windows, такие как PowerShell, чтобы обходить традиционные системы защиты. Однако именно детализированное логирование и разнообразие источников данных позволяют обнаружить даже хорошо замаскированные атаки. PowerShell-Hunter объединяет эти источники и предоставляет:
Глубокий анализ событий: Инструменты позволяют фильтровать большие объёмы данных, выявляя важные паттерны.
Эффективность и производительность: Инструменты оптимизированы для быстрого анализа тысяч событий.
Гибкость: Возможность экспорта результатов в различных форматах (CSV, JSON, HTML) для дальнейшей обработки.
Расширяемость: Лёгкая интеграция с другими инструментами и возможность добавления собственных шаблонов детектирования.
Основные требования и возможности:
▪ Github (https://github.com/MHaggis/PowerShell-Hunter)
@linux_education
👍3❤1
⚡️ Статья «ENOMEM in Linux Kernel» посвящена проблеме возникновения ошибки ENOMEM в ядре Linux, которая возникает в случае, когда системе не удаётся выделить необходимое количество памяти.
В статье подробно рассматриваются следующие аспекты:
- Причины ошибки ENOMEM: Анализируются ситуации и условия, при которых возникает данная ошибка, а также внутренние механизмы управления памятью в Linux.
- Влияние на систему: Обсуждаются последствия для работы ядра и приложений, когда выделение памяти оказывается невозможным, и какие проблемы могут возникнуть в производственной среде.
- Подходы к диагностике и решению: Приводятся рекомендации по поиску и устранению причин возникновения ошибки, что помогает повысить стабильность и производительность системы.
Эта статья может быть весьма полезна как для администраторов Linux, так и для разработчиков, поскольку:
Для администраторов: Материал помогает понять, какие проблемы могут возникать на уровне ядра, и как их можно диагностировать и исправлять. Это особенно важно для обеспечения бесперебойной работы серверов и рабочих станций.
Для разработчиков: Глубокое понимание механизмов управления памятью в ядре Linux и особенностей ошибки ENOMEM позволит более эффективно разрабатывать системное программное обеспечение и оптимизировать взаимодействие приложений с операционной системой.
Подробнее можно прочитать по ссылке.
▪ Читать (https://u1f383.github.io/linux/2025/03/04/enomem-in-linux-kernel.html)
@linux_education
В статье подробно рассматриваются следующие аспекты:
- Причины ошибки ENOMEM: Анализируются ситуации и условия, при которых возникает данная ошибка, а также внутренние механизмы управления памятью в Linux.
- Влияние на систему: Обсуждаются последствия для работы ядра и приложений, когда выделение памяти оказывается невозможным, и какие проблемы могут возникнуть в производственной среде.
- Подходы к диагностике и решению: Приводятся рекомендации по поиску и устранению причин возникновения ошибки, что помогает повысить стабильность и производительность системы.
Эта статья может быть весьма полезна как для администраторов Linux, так и для разработчиков, поскольку:
Для администраторов: Материал помогает понять, какие проблемы могут возникать на уровне ядра, и как их можно диагностировать и исправлять. Это особенно важно для обеспечения бесперебойной работы серверов и рабочих станций.
Для разработчиков: Глубокое понимание механизмов управления памятью в ядре Linux и особенностей ошибки ENOMEM позволит более эффективно разрабатывать системное программное обеспечение и оптимизировать взаимодействие приложений с операционной системой.
Подробнее можно прочитать по ссылке.
▪ Читать (https://u1f383.github.io/linux/2025/03/04/enomem-in-linux-kernel.html)
@linux_education
Blog
ENOMEM In Linux Kernel
How to reliably make memory allocation related APIs return -ENOMEM in the linux kernel? You might initially think of using fault injection to achieve this, but only root users can access the exposed debugfs. Additionally, the OOM killer will terminate processes…
⭐️ Операции Red Team от Zero-Point Security (RTO) II
Этот документ является подробным руководством для специалистов по операциям Red Team и пентестингу, основанным на курсе Zero-Point Security Red Team Operations (RTO) II и личных исследованиях автора. В нем собраны советы, примеры команд и настройки для:
- Настройки C2-инфраструктуры:
Инструкции по установке Apache с поддержкой SSL/TLS, настройке сертификатов и конфигурации SSH-туннелей.
- Работы с Cobalt Strike:
Подробное описание создания и модификации payload’ов, методов обхода EDR (например, sleep mask, thread stack spoofing, использование прямых системных вызовов) и способов инъекций в процессы.
- Постэксплуатационных действий:
Команды для управления сессиями, выполнения inline-команд, использования инъекций процессов и обхода мер безопасности, а также рекомендации по эксплуатации систем после первичного доступа.
При этом автор подчеркивает, что материал следует адаптировать под конкретные задачи, не используя его "как есть".
▪ Шпаргалка (https://github.com/RedefiningReality/Cheatsheets/blob/main/Red%20Team%20Operations%20(RTO)%20II.md)
@linux_education
Этот документ является подробным руководством для специалистов по операциям Red Team и пентестингу, основанным на курсе Zero-Point Security Red Team Operations (RTO) II и личных исследованиях автора. В нем собраны советы, примеры команд и настройки для:
- Настройки C2-инфраструктуры:
Инструкции по установке Apache с поддержкой SSL/TLS, настройке сертификатов и конфигурации SSH-туннелей.
- Работы с Cobalt Strike:
Подробное описание создания и модификации payload’ов, методов обхода EDR (например, sleep mask, thread stack spoofing, использование прямых системных вызовов) и способов инъекций в процессы.
- Постэксплуатационных действий:
Команды для управления сессиями, выполнения inline-команд, использования инъекций процессов и обхода мер безопасности, а также рекомендации по эксплуатации систем после первичного доступа.
При этом автор подчеркивает, что материал следует адаптировать под конкретные задачи, не используя его "как есть".
▪ Шпаргалка (https://github.com/RedefiningReality/Cheatsheets/blob/main/Red%20Team%20Operations%20(RTO)%20II.md)
@linux_education
👍2
⭐️ Группировка Anonymous нарушила работу X/Твиттера.
• Хакеры провели крупную кибератаку на сайт, чтобы выразить недовольство по поводу «фашизма, который, по их словам, укоренился в США».
@linux_education
• Хакеры провели крупную кибератаку на сайт, чтобы выразить недовольство по поводу «фашизма, который, по их словам, укоренился в США».
@linux_education
❤8
🥷 RustPotato (https://github.com/safedv/RustPotato) — это реализация утилиты GodPotato на языке Rust, которая предназначена для повышения привилегий в Windows-системах.
🌟 Она использует уязвимость SeImpersonatePrivilege для доступа от имени NT AUTHORITY\SYSTEM. RustPotato включает обратную TCP-оболочку, косвенные вызовы NTAPI для работы с токенами, манипуляцию RPC и создание именованных каналов.
🔐 Лицензия: MIT
🖥 Github (https://github.com/safedv/RustPotato)
@linux_education
🌟 Она использует уязвимость SeImpersonatePrivilege для доступа от имени NT AUTHORITY\SYSTEM. RustPotato включает обратную TCP-оболочку, косвенные вызовы NTAPI для работы с токенами, манипуляцию RPC и создание именованных каналов.
🔐 Лицензия: MIT
🖥 Github (https://github.com/safedv/RustPotato)
@linux_education
👍2
🔥 CISO Assistant Community (https://github.com/intuitem/ciso-assistant-community) — это инструмент, который помогает специалистам по информационной безопасности управлять рисками, обеспечивать соответствие стандартам и проводить аудиты.
💡 CISO Assistant поддерживает более 70 международных стандартов, таких как ISO 27001, NIST CSF, SOC2, GDPR, PCI DSS и другие. Одной из его основных функций является автоматическое сопоставление требований между этими стандартами, что упрощает соблюдение множества нормативных требований одновременно.
🔐 Лицензия: AGPL-3.0
🖥 Github (https://github.com/intuitem/ciso-assistant-community)
@linux_education
💡 CISO Assistant поддерживает более 70 международных стандартов, таких как ISO 27001, NIST CSF, SOC2, GDPR, PCI DSS и другие. Одной из его основных функций является автоматическое сопоставление требований между этими стандартами, что упрощает соблюдение множества нормативных требований одновременно.
🔐 Лицензия: AGPL-3.0
🖥 Github (https://github.com/intuitem/ciso-assistant-community)
@linux_education
📞 Doggo (https://github.com/mr-karan/doggo) — это современный DNS-клиент для командной строки, разработанный на языке Go.
🌟 Он предлагает удобный для восприятия вывод, поддерживает протоколы DoH, DoT, DoQ, DNSCrypt и традиционные DNS-запросы через UDP/TCP. Также доступны функции вывода в формате JSON, обратного DNS-поиска, работа с несколькими резолверами и измерение времени ответа.
🔐 Лицензия: GPL-3.0
🖥 Github (https://github.com/mr-karan/doggo)
@linuxacademiya
@linux_education
🌟 Он предлагает удобный для восприятия вывод, поддерживает протоколы DoH, DoT, DoQ, DNSCrypt и традиционные DNS-запросы через UDP/TCP. Также доступны функции вывода в формате JSON, обратного DNS-поиска, работа с несколькими резолверами и измерение времени ответа.
🔐 Лицензия: GPL-3.0
🖥 Github (https://github.com/mr-karan/doggo)
@linuxacademiya
@linux_education
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Subcat — это инструмент для работы с файлами, который упрощает обработку и просмотр содержимого файлов, находящихся в подкаталогах.
▪ Эффективное объединение файлов: Позволяет быстро собирать содержимое нескольких файлов из подкаталогов, что полезно для анализа логов, исходного кода или других текстовых данных.
▪ Простота использования: Интуитивно понятный командный интерфейс позволяет легко интегрировать инструмент в скрипты и автоматизированные рабочие процессы.
▪ Оптимизация рутинных задач: Экономит время разработчиков при выполнении повседневных задач по поиску, просмотру и объединению информации из сложной структуры каталогов.
Subcat полезен для разработчиков, которым необходимо эффективно управлять текстовыми данными в файловой системе, особенно когда речь идет о работе с большим количеством файлов в многослойной структуре каталогов.
📌 Github (https://github.com/duty1g/subcat)
#infosec #cybersecurity #bugbounty
@linux_education
▪ Эффективное объединение файлов: Позволяет быстро собирать содержимое нескольких файлов из подкаталогов, что полезно для анализа логов, исходного кода или других текстовых данных.
▪ Простота использования: Интуитивно понятный командный интерфейс позволяет легко интегрировать инструмент в скрипты и автоматизированные рабочие процессы.
▪ Оптимизация рутинных задач: Экономит время разработчиков при выполнении повседневных задач по поиску, просмотру и объединению информации из сложной структуры каталогов.
Subcat полезен для разработчиков, которым необходимо эффективно управлять текстовыми данными в файловой системе, особенно когда речь идет о работе с большим количеством файлов в многослойной структуре каталогов.
📌 Github (https://github.com/duty1g/subcat)
#infosec #cybersecurity #bugbounty
@linux_education
🔥2👍1
🖥 Значимая дата в истории Linux
⚫ 14 марта 1994 года — вышел первый стабильный релиз Linux 1.0.0.
⚫ Версия 1.0.0 содержала 176 000 строк кода и поддерживала архитектуру x86, а также многозадачность.
@linux_education
⚫ 14 марта 1994 года — вышел первый стабильный релиз Linux 1.0.0.
⚫ Версия 1.0.0 содержала 176 000 строк кода и поддерживала архитектуру x86, а также многозадачность.
@linux_education
👍10🔥1
☠️ SubSeven Legacy: Легендарный троян и ностальгия без угроз
SubSeven Legacy — это современная версия известного трояна SubSeven Backdoor, который был создан в конце 90-х.
Проект полностью написан на Delphi и адаптирован под новые версии Delphi IDE, сохраняя дух оригинала, но без вредоносного кода.
🔍 В чём суть?
▪ Безопасная ностальгия: Все функции удалённого доступа сохранены, но без зловредной составляющей.
▪ Многофункциональность: Включает инструменты, такие как файловый менеджер и удалённый терминал — для демонстрации возможностей RAT-софта прошлого.
▪ Для энтузиастов и исследователей: Идеален для изучения истории кибербезопасности или экспериментов с устаревшим кодом.
⚠️ Важно!
Проект не предназначен для использования — это архивный релиз, переосмысленный в образовательных целях.
🔗 Исходный код (https://github.com/DarkCoderSc/SubSeven)
P.S. Для тех, кто помнит эпоху IRC и Win95, это — цифровая машина времени. 🕰️💻
@linux_education
SubSeven Legacy — это современная версия известного трояна SubSeven Backdoor, который был создан в конце 90-х.
Проект полностью написан на Delphi и адаптирован под новые версии Delphi IDE, сохраняя дух оригинала, но без вредоносного кода.
🔍 В чём суть?
▪ Безопасная ностальгия: Все функции удалённого доступа сохранены, но без зловредной составляющей.
▪ Многофункциональность: Включает инструменты, такие как файловый менеджер и удалённый терминал — для демонстрации возможностей RAT-софта прошлого.
▪ Для энтузиастов и исследователей: Идеален для изучения истории кибербезопасности или экспериментов с устаревшим кодом.
⚠️ Важно!
Проект не предназначен для использования — это архивный релиз, переосмысленный в образовательных целях.
🔗 Исходный код (https://github.com/DarkCoderSc/SubSeven)
P.S. Для тех, кто помнит эпоху IRC и Win95, это — цифровая машина времени. 🕰️💻
@linux_education