Тусовочка у нас не экономическая - но очень интересно
*
Тут господин очень доходчиво рассказывает что случилось с биржой золотишка\серебра, сразу можно провести параллели - как это затронуло фиат и крипту.
(пысы - в комментах продожение кулл стори)
Это был не обвал. Это была казнь.
*
Тут господин очень доходчиво рассказывает что случилось с биржой золотишка\серебра, сразу можно провести параллели - как это затронуло фиат и крипту.
(пысы - в комментах продожение кулл стори)
Это был не обвал. Это была казнь.
👍10🔥8😱1
На заметку
*
В Linux удаление файла приводит лишь к удалению его имени из файловой системы. Если какой-либо процесс всё ещё юзает этот файл, данные остаются в памяти пока не кильнуть сам процесс.
И Linux сохраняет доступ к содержимому УДАЛЕННОГО ИСПОЛНЯЕМОГО файла до тех пор, пока он "открыт процессом".
На скринах видно запущенный процесс
Помни
#РубрикаНаЗаметкуХакеру
$USERNAME@hacker.wtf*
В Linux удаление файла приводит лишь к удалению его имени из файловой системы. Если какой-либо процесс всё ещё юзает этот файл, данные остаются в памяти пока не кильнуть сам процесс.
И Linux сохраняет доступ к содержимому УДАЛЕННОГО ИСПОЛНЯЕМОГО файла до тех пор, пока он "открыт процессом".
На скринах видно запущенный процесс
update-check, файл notes.txt удален из каталога, казалось бы - все круто и файл исчез. (нет)lsof показывает, что процесс все еще держит удаленный файл открытым, а /proc/<pid> Параметр /fd подтверждает это, видим активный дескриптор файла, указывающего на него.Помни
$USERNAME, доказуха еще висит в памяти - и она очень даже доступна.#РубрикаНаЗаметкуХакеру
👍37🔥13
На заметку
*
payload + unlink = stealth mode
payload не ищется, антивирусу нечего сканировать, а процесс живёт !
*
*
mmap + unlink = призрачные данные
Пока процесс жив - данные доступны (вместе с shellcode) и даже дамп памяти их покажет, но диск чист
#РубрикаНаЗаметкуХакеру
$USERNAME@hacker.wtf - part 2*
payload + unlink = stealth mode
payload не ищется, антивирусу нечего сканировать, а процесс живёт !
payload + unlink = stealth mode
fd = open("/tmp/.x", O_CREAT|O_RDWR);
unlink("/tmp/.x");
execve("/proc/self/fd/3", ...);
*
*
mmap + unlink = призрачные данные
Пока процесс жив - данные доступны (вместе с shellcode) и даже дамп памяти их покажет, но диск чист
fd = open("secret", O_RDWR);
mmap(...)
unlink("secret");#РубрикаНаЗаметкуХакеру
👍18🔥17
From Automation to Infection (Part II):
*
Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills
*
Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills
👍8🔥6
Рубрика На заметку
*
Zombie FD - файл закрыт, но mmap то жив !
Файла нет, FD закрыт, lsof ничего не покажет, но данные всё ещё доступны. Тут только
*
*
process_vm_readv - читаем невидимое.
Смоделируем сценарий - файл удален, fd закрыт и даже mmap’нут, НО ПРОЦЕСС пока ЖИВ.
Тогда другим процессом (ну с правами) можно вытащить payload, ключи, shellcode etc.
Ну или наоборот — заинжектить данные без файлов
#РубрикаНаЗаметкуХакеру
$USERNAME@hacker.wtf - part 3*
Zombie FD - файл закрыт, но mmap то жив !
fd = open("secret", O_RDONLY);
ptr = mmap(fd);
close(fd);
unlink("secret");Файла нет, FD закрыт, lsof ничего не покажет, но данные всё ещё доступны. Тут только
/proc/<pid>/maps руками смотреть, людям из форензики плохеет.*
*
process_vm_readv - читаем невидимое.
Смоделируем сценарий - файл удален, fd закрыт и даже mmap’нут, НО ПРОЦЕСС пока ЖИВ.
process_vm_readv(pid, ...)Тогда другим процессом (ну с правами) можно вытащить payload, ключи, shellcode etc.
Ну или наоборот — заинжектить данные без файлов
#РубрикаНаЗаметкуХакеру
🔥20👍6