Order of Six Angles
Из своего игрового компа сделал сервак, поставил proxmox. CPU: AMD Ryzen 7 5700X3D GPU: NVIDIA RTX 3070, 8 GB VRAM RAM: 32 GB DDR4 3200 MHz Motherboard: MSI MAG B550 Tomahawk PSU: 750 W Платформа: AM4 / B550
Нашел интересный проект - IntroVirt. Тулза позволяет исследовать адресное пространство (память) (VMI instrospection) запущенной виртуалки. Например винды, в которой запущена малварь или легитимное ПО для анализа. Так как у меня это будет крутиться на AMD процессоре, некоторые альтернативные тулзы отпадают. Проект состоит из пропатченного гипервизора KVM и библиотеки для парсинга памяти виртуалки. Мы будем получать live syscall trace. Цель - обойти некоторые техники анти-анализа ПО. На практике еще не пробовал, попробую отпишусь
GitHub
GitHub - IntroVirt/IntroVirt: IntroVirt is an guest introspection library for KVM
IntroVirt is an guest introspection library for KVM - IntroVirt/IntroVirt
Навайбкодил для себя небольшой проект для анализа поведения Windows-приложений через sysmon+LLM. Я использую Codex, поэтому тулза написанного под него, но вам не составит труда переориентировать ее на свой ИИ cli. Идея простая: дать Codex/LLM инструмент, который может запускать приложение или подключаться к уже работающему PID, собирать события Sysmon и возвращать структурированный отчет.
Пример сценария: Запусти Firefox на 90 секунд, включи deep-анализ, сохрани все события в JSON и покажи сетевую, файловую и registry-активность.
В результате LLM получает дерево процессов, DNS-запросы, сетевые подключения, файловые записи, registry changes и ProcessAccess события. Тулза нацелена именно на легитимные приложения, так как запускать и анализировать малварь, на том же хосте, где стоит codex с доступом в интернет не получится. Не стал делать суперкомбайн, кому надо доработают сами.
https://github.com/thatskriptkid/sysmon-live
Пример сценария: Запусти Firefox на 90 секунд, включи deep-анализ, сохрани все события в JSON и покажи сетевую, файловую и registry-активность.
В результате LLM получает дерево процессов, DNS-запросы, сетевые подключения, файловые записи, registry changes и ProcessAccess события. Тулза нацелена именно на легитимные приложения, так как запускать и анализировать малварь, на том же хосте, где стоит codex с доступом в интернет не получится. Не стал делать суперкомбайн, кому надо доработают сами.
https://github.com/thatskriptkid/sysmon-live
GitHub
GitHub - thatskriptkid/sysmon-live: Windows Sysmon-backed MCP server for live process behavior analysis with LLMs.
Windows Sysmon-backed MCP server for live process behavior analysis with LLMs. - thatskriptkid/sysmon-live
Order of Six Angles
Навайбкодил для себя небольшой проект для анализа поведения Windows-приложений через sysmon+LLM. Я использую Codex, поэтому тулза написанного под него, но вам не составит труда переориентировать ее на свой ИИ cli. Идея простая: дать Codex/LLM инструмент, который…
prompt.txt
14.7 KB
Это часть проекта по проверки как ЛЛМ автономно ищет уязвимости. Я поднял виртуалку Win10, установил туда по максимум инструменты необходимые для анализа десктопного приложения, запустил Codex /goal и скормил ему этот промпт. В результате отчет получился скудный, промпт слабый ,буду улучшать. В виртуалку установил:
- Sysinternals: Process Explorer, Process Monitor, Autoruns, Sigcheck, ListDLLs, Handle, TCPView, Streams.
- Windows SDK / Debugging Tools: WinDbg, dumpbin, signtool, gflags, appverif, WPR/WPA
- Docker Desktop и WSL: для вспомогательного анализа, dependency scanners, scripts, isolated tooling.
- OWASP Dependency-Check: проверка известных CVE в зависимостях.
- Frida-tools: для динамического анализа, tracing API, проверки IPC/crypto/file/network behavior и т.д.
- Wireshark / TShark / Dumpcap: для захвата трафика, генерируемого анализируемым приложением.
- Burp-Suite MCP - для расширенного сетевого анализа
- ILSpy: анализ .NET assemblies, если они есть.
- Для статического анализа Ghidra MCP.
- Sysmon-live - для анализа уже запущенного процесса или создания нового и наблюдения за ним.
- Для документации по коду Context7
- Opensll
- Maven
- Java
- NodeJS
- Python
- Playwright (Playwright cli+skill)
- Floss
- SQLIte browser
- Dotnet
- GIT
- Openssl
- npm/npx
Windows Kernel Driver Code & Exploitation Techniques
https://x.com/i/broadcasts/1XxyggOZBBgGM
https://www.youtube.com/live/CFsjVyTXtzg?si=TJfm76obW3TgPYQc
https://x.com/i/broadcasts/1XxyggOZBBgGM
https://www.youtube.com/live/CFsjVyTXtzg?si=TJfm76obW3TgPYQc
X (formerly Twitter)
Stephen Sims
Windows Kernel Driver Code & Exploitation Techniques
Deobfuscation in the Age of Agentic Reverse Engineering СЛАЙДЫ
https://synthesis.to/presentations/recon26_agentic_deobfuscation.pdf
https://synthesis.to/presentations/recon26_agentic_deobfuscation.pdf
Order of Six Angles
Deobfuscation in the Age of Agentic Reverse Engineering СЛАЙДЫ https://synthesis.to/presentations/recon26_agentic_deobfuscation.pdf
хорошая преза, только вот binary ninja в headless режиме доступна только в commercial license, которая стоит 1500 долларов =/
интересно
Vibe Reversing Across IDA, Ghidra, and Binary Ninja
https://github.com/allthingsida/allthingsida/blob/main/presentations/select_from_binary_vibe_re/vibe_re_xsql.pdf
Vibe Reversing Across IDA, Ghidra, and Binary Ninja
https://github.com/allthingsida/allthingsida/blob/main/presentations/select_from_binary_vibe_re/vibe_re_xsql.pdf
куча инфы
Practical macOS Security Researcher Notes and Guide (OSMR)
https://redteamrecipes.com/blog/2025/12/osmrnotes/
Practical macOS Security Researcher Notes and Guide (OSMR)
https://redteamrecipes.com/blog/2025/12/osmrnotes/
Redteamrecipes
Practical macOS Security Researcher Notes and Guide (OSMR) | RTR
By Zeyad Azima
MacOS ArchitectureIntroduction
1. Application Layer
AppKit: Facilitates the creation of desktop application interfaces, handling events, drawing operations, and user interface elements like buttons and text fields. For example, when you create…
MacOS ArchitectureIntroduction
1. Application Layer
AppKit: Facilitates the creation of desktop application interfaces, handling events, drawing operations, and user interface elements like buttons and text fields. For example, when you create…
Order of Six Angles
prompt.txt
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет
Надо чекнуть
Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows.
https://github.com/kernelstub/NTForge
Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows.
https://github.com/kernelstub/NTForge
GitHub
GitHub - kernelstub/NTForge: Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows.
Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows. - kernelstub/NTForge
Order of Six Angles
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security…
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье:
https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL)
https://github.com/0xABCD01/CVE-2026-41089
https://github.com/0xABCD01/CVE-2026-41089
GitHub
GitHub - 0xABCD01/CVE-2026-41089: CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL)
CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL) - 0xABCD01/CVE-2026-41089
Order of Six Angles
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье: https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели. В этот раз моделям нужно было дергать радар через самописный мсп
Order of Six Angles
Windows Driver Fuzzing. Part 2. Обновил термопасту и решил выжать максимум из этой фаззинг машинки. Недельку пофаззив, я пришел к выводу, что упора в CPU и ОЗУ нету. Проц не работает на полную мощность и мне это не нравилось, куча ядер и потоков простаивает.…
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
Order of Six Angles
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает
GitHub
GitHub - kernullist/kn-live-dbg: Windows kernel research tool. Looks like a debugger, but it is not a debugger. It uses a kernel…
Windows kernel research tool. Looks like a debugger, but it is not a debugger. It uses a kernel driver to provide a WinDbg-like live kernel debugging experience from a TUI console. - kernullist/kn-...