Order of Six Angles
4.85K subscribers
416 photos
28 videos
44 files
2.05K links
Download Telegram
Навайбкодил для себя небольшой проект для анализа поведения Windows-приложений через sysmon+LLM. Я использую Codex, поэтому тулза написанного под него, но вам не составит труда переориентировать ее на свой ИИ cli. Идея простая: дать Codex/LLM инструмент, который может запускать приложение или подключаться к уже работающему PID, собирать события Sysmon и возвращать структурированный отчет.

Пример сценария: Запусти Firefox на 90 секунд, включи deep-анализ, сохрани все события в JSON и покажи сетевую, файловую и registry-активность.

В результате LLM получает дерево процессов, DNS-запросы, сетевые подключения, файловые записи, registry changes и ProcessAccess события. Тулза нацелена именно на легитимные приложения, так как запускать и анализировать малварь, на том же хосте, где стоит codex с доступом в интернет не получится. Не стал делать суперкомбайн, кому надо доработают сами.

https://github.com/thatskriptkid/sysmon-live
Order of Six Angles
Навайбкодил для себя небольшой проект для анализа поведения Windows-приложений через sysmon+LLM. Я использую Codex, поэтому тулза написанного под него, но вам не составит труда переориентировать ее на свой ИИ cli. Идея простая: дать Codex/LLM инструмент, который…
prompt.txt
14.7 KB
Это часть проекта по проверки как ЛЛМ автономно ищет уязвимости. Я поднял виртуалку Win10, установил туда по максимум инструменты необходимые для анализа десктопного приложения, запустил Codex /goal и скормил ему этот промпт. В результате отчет получился скудный, промпт слабый ,буду улучшать. В виртуалку установил:

- Sysinternals: Process Explorer, Process Monitor, Autoruns, Sigcheck, ListDLLs, Handle, TCPView, Streams.
- Windows SDK / Debugging Tools: WinDbg, dumpbin, signtool, gflags, appverif, WPR/WPA
- Docker Desktop и WSL: для вспомогательного анализа, dependency scanners, scripts, isolated tooling.
- OWASP Dependency-Check: проверка известных CVE в зависимостях.
- Frida-tools: для динамического анализа, tracing API, проверки IPC/crypto/file/network behavior и т.д.
- Wireshark / TShark / Dumpcap: для захвата трафика, генерируемого анализируемым приложением.
- Burp-Suite MCP - для расширенного сетевого анализа
- ILSpy: анализ .NET assemblies, если они есть.
- Для статического анализа Ghidra MCP.
- Sysmon-live - для анализа уже запущенного процесса или создания нового и наблюдения за ним.
- Для документации по коду Context7
- Opensll
- Maven
- Java
- NodeJS
- Python
- Playwright (Playwright cli+skill)
- Floss
- SQLIte browser
- Dotnet
- GIT
- Openssl
- npm/npx
взял новую видюху, под ллм
Deobfuscation in the Age of Agentic Reverse Engineering СЛАЙДЫ

https://synthesis.to/presentations/recon26_agentic_deobfuscation.pdf
Order of Six Angles
Deobfuscation in the Age of Agentic Reverse Engineering СЛАЙДЫ https://synthesis.to/presentations/recon26_agentic_deobfuscation.pdf
хорошая преза, только вот binary ninja в headless режиме доступна только в commercial license, которая стоит 1500 долларов =/
Order of Six Angles
prompt.txt
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет
Order of Six Angles
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье: https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели. В этот раз моделям нужно было дергать радар через самописный мсп
Order of Six Angles
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает
This media is not supported in your browser
VIEW IN TELEGRAM