-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Ру-Сфера: Исследование защиты и обсуждение IT-безопасности
Малварь как искусство Фреймворк для тестирования антивирусов
Всем привет!
Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.
Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)
Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.
Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.
Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.
Итак что мы можем сделать в своём зверьке ?
1)Скрытие от статического анализа:
Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...
ВАЖНО [КНИГА] Разработка драйверов для Windows
Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming
Но есть профессиональный перевод, которым хочу поделиться.)
В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.
Некоторые из тем, которые в книге не рассматривались:
- Драйверы физических устройств.
- Сетевые драйверы и фильтры.
- WFP (Windows Filtering Platform).
- Более подробная информация о мини-фильтрах файловой системы.
- Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
- Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
[Книга] Введение в разработку вредоносных программ
Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.
Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.
Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.
Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.
Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]
Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)
Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.
И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.
В итоге появился раздел...
ВАЖНО Введение в разработку вредоносных программ (Оглавление)
В этой теме список статей по разработки малвари.
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
[URL...
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ВАЖНО - Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
Уроки - Разработка малвари - 2. Изучаем инструменты
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?
Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды
Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
Уроки - Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
[URL...
На заметку Как защититься от майнера
Всем привет!
Разработчик программы:ВАЖНО - Miner Search - Поиск и уничтожение скрытых майнеров
В своём телеграм канале:
Написал советы как защитится от майнеров, вот:
Кратко о том, как не ловить майнер.
❗️ Автор не побуждает к установке пиратских копий программ. Всё что вы делаете на свой страх и риск.
Основные признаки такие:
1) В сборке лежат файлы data0.bin и data1.bin (возможно другие файлы с .bin). Обычно data1.bin реальный установщик, а data0 самораспаковывающийся архив с майнером (примерно 100-300 МБ). Это не всегда так, но в этом можно убедиться поменяв расширение .bin на .exe. Если иконка поменялась на коробку с книгами - это оно.
2) Если эта игра, репак имеет шаблонное название "Torrent Game". Сразу отменяет скачивание.
3) Если репак в архиве, то распаковать...
Информация Быстрый поиск по хеш-таблицы в Си
Всем привет!
Если вы разрабатываете софт, не важно на каком уровне, на уровне ядра, или более высокий уровень, то в любом случае часто приходится работать с большими массивами данных.
Вот встаёт всегда вопрос обработки таких данных, если вы можете работать с такими штуками как питон или C#, то там как правило уже есть готовые библиотеки, такие как dict, например в питоне, или в C# Dictionary по моему называется, достаточно ознакомится с документацией и применять в своей задаче.
А теперь представьте, вы пишите загрузчик операционной системы, или пишите драйвер, по факту вы используете язык Си и у вас ничего нету, поэтому уметь использовать базовые структуры данных и писать их самому, весьма не плохой скил.
Да в линуксе например есть API для работе с хеш-таблицами в драйверах.
Но всё-же предлагаю в этой статье попробовать самим написать оптимизированный поиск по хеш-таблицам.
Итак начнем:...
Кто такой Дэвид Майер ?
В работе ChatGPT обнаружился странный баг. Если попросить его дать информацию о том, кто такой David Mayer (Дэвид Майер) или просто написать это имя, в боте происходит сбой и выводится сообщение, что команду нельзя выполнить.
Никто не знает, кто такой Дэвид Майер и почему нейронка не хочет о нем говорить.
Информация Создание скрипта для защиты сервера с помощью iptables
Введение
Безопасность сервера является одной из ключевых задач администратора системы. Одним из инструментов для обеспечения сетевой безопасности является iptables — мощный инструмент для настройки правил фильтрации трафика в Linux.В этом руководстве мы рассмотрим, как создать Bash-скрипт, который автоматически обновляет список IP-адресов Cloudflare и настраивает правила iptables для защиты вашего сервера.
Шаг 1: Основы работы с iptables
iptables — это утилита для настройки и управления таблицами правил фильтрации пакетов в ядре Linux.С его помощью можно контролировать входящий и исходящий сетевой трафик на основе различных критериев, таких как IP-адрес, порт, протокол и т.д.
Основные команды iptables:
- iptables -A — добавить правило в цепочку.
- iptables -D — удалить правило из цепочки.
- iptables -P — установить политику по...
Новость Роскомнадзор запретил думать о VPN
В России теперь запрещено распространение практически любой информации о VPN, включая научную и статистическую.
На официальном портале правовой информации был опубликован соответствующий приказ Роскомнадзора, вносящий изменения в критерии оценки информации и отнесению ее к запрещенной в России для внесения в соответствующий реестр ведомства.
Он вступит в силу 30 ноября и будет действовать до 1 сентября 2029 года. В соответствии с текстом приказа, теперь к запрещённой будет относиться также научная, научно-техническая и статистическая информация о способах, методах обмена информацией в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", при обеспечении доступа к информационным ресурсам и/или информационно-телекоммуникационным сетям с применением защищенных каналов связи.
Для сравнения, ранее исключение касалось научной, научно-технической и статистической информации о способах, методах...
На заметку Настройка CloudFlare - 2024
Всем привет!
Незнаю может нужно кому, для интереса решил настроить прокси, вот-что получилось.
Вообще даже бесплатный аккаунт даёт достаточно мощный функционал для отражения атак, которые могут не давать даже платники.
Просто акцентирую внимание на что можно обратить внимание при настройке:
1)Режим "Я под атакой", рекомендую сделать не для всех стран, а для некоторых.
Например можно не проверять какие-то конкретные страны европы, США, СНГ.
В зависимости от того для кого ваши сайты.
В Security->Settings:
Ставим "I'm Under Attack!"
Далее заходим в Create a Configuration Rule
И там вбиваем нужное правило.
Например:
Далее можно поменять уровень фильтрации для этих стран:
Ну там много чего можно сделать.
Вот текстовое правило (Страны СНГ, Европы, США):
Код:
(ip.geoip.country in {"RU" "UA" "BY" "KZ" "AM" "AZ" "GE" "KG" "MD" "TJ" "TM"...ВАЖНО Изменение в работе форума
Всем привет!
Т.к. всякие "Школьники ддосеры", а может и не школьники, стали ддосить форум, пришлось скрыть реальный айпи сервера за сервисом CloudFlare.
- Это прокси сервис, который может скрывать IP-адрес сервера, защищать от ддос и т.д.
К сожалению текущий хостер перестал защищать от ддос и в случае атак, стал блокировать IP адрес сервера.
А что-то платное не хочу покупать.
Если кому интересно в ddos-guard защита стоит от 7К. рублей проксирование, или от 10000 рублей за VPS в месяц, для этого форума думаю это как-то жирно очень.)
Вот, но к сожалению эффективное использование CloudFlare или похожих сервисов накладывает ряд ограничений, а именно:
1)Возможно кто-то будет видеть страничку "Проверка браузера", например кто заходит с ТОР, но там она будет секуды 2-3 отображаться и делать ничего не надо.
2)Возможно Роскомнадзор заблокирует форум...
ПЕНТЕСТИНГ Snoop - инструмент разведки на основе открытых данных (OSINT world)
Snoop — это исследовательская работа в области поиска и обработки публичных данных в сети интернет (собственная база данных, алгоритмы, закрытые багбаунти). По части специализированного поиска Snoop способен конкурировать с традиционными поисковыми системами.
Хе случайно узнал про этот инструмент, они в базу форум добавили.)
Там не хилая такая база форумов, можно по никнейму искать посты и т.д., вообще по описанию инструмент достаточно функциональный.
Ссылка на программу:
Скачать саму программу для нужной ОС можно здесь:
Хе случайно узнал про этот инструмент, они в базу форум добавили.)
Там не хилая такая база форумов, можно по никнейму искать посты и т.д., вообще по описанию инструмент достаточно функциональный.
Ссылка на программу:
Скачать саму программу для нужной ОС можно здесь:
Вопрос Скрипт вирусы, почему не актуально ?
Всем привет, тут вчера на форуме была создана а потом удалена тема, с причиной "Неактуально!"
В этой теме был выложен скрипт на питон, он-же во вложении.
Пароль:111
Вкратце скрипт делает следующее:
Данный скрипт собирает информацию с компьютера на котором был запущен скрипт и загружает её на веб сервер WebDAV.
При запуске скрипт работает в фоновом режиме и добавляется в автозагрузку Windows для автоматического запуска при каждом входе в систему.
Что делает скрипт:
Автозагрузка :
Скрипт добавляется в реестр Windows (`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`) с указанием пути текущего исполняемого файла.
После первого запуска скрипт будет запускаться автоматически при каждом входе в систему.
Сбор информации :
IP-адрес: Получает информацию об IP через API ipinfo.io.
Пароли браузеров: Извлекает и расшифровывает пароли из Google Chrome, Edge и Brave.
Файлы с рабочего стола: Собирает...
Какие камеры видеонаблюдения невозможно взломать?
Когда речь идет о безопасности, ставки всегда высоки: защита активов и конфиденциальность -ключевые аспекты для компаний и частных лиц.
При этом важно понимать, что кибербезопасность — это не только качество самой камеры, но и грамотная настройка и управление системой видеонаблюдения.
В эпоху, когда угрозы кибербезопасности стремительно развиваются, возникает важный вопрос: какие камеры видеонаблюдения невозможно взломать?
Миф о 100%-ной защищенности камер видеонаблюдения:
На самом деле, не существует камер видеонаблюдения, которые на 100% невозможно взломать.
Однако некоторые модели гораздо лучше защищены и более устойчивы к атакам.
При выборе камеры, а также при её установке и управлении, можно сделать систему видеонаблюдения практически неуязвимой для большинства угроз.
Давайте разберёмся, какие технологии и меры помогают значительно повысить уровень безопасности камер и системы...
На заметку Apple и цензура
Так ради размышления, сообщение от Amnezia VPN:
У нас плохие новости.
Буквально пару часов назад мы получили сообщение от Apple, что они по требованию Роскомнадзора удаляют наше приложение Amnezia VPN из AppStore.
Мы можем сказать только одно.
Не покупайте больше никогда айфоны, не покупайте больше никогда технику Apple, иначе рано или поздно просто потеряете доступ в Интернет.
Отнеситесь к этому серьезно.
Мы смогли преодолеть блокировки протоколов, мы смогли преодолеть блокировки серверов, но мы ничего не можем сделать против Apple. Они являются сейчас самым крупным провайдером цензуры в мире, и ради прибыли идут на любые шаги.
Пусть это будет открытое послание не только к пользователям из России, но и к пользователям по всему миру. Если в вашей стране вдруг случится беда и опустится цензура, то Apple пойдет на поводу сил зла, и продаст вашу свободу не считаясь ни с какими...
Инструкция Запуск анонимного мессенджера HLM в сети «Hidden Lake»
Анонимная сеть Hidden Lake
Анонимная сеть Hidden Lake (HL) - это децентрализованная F2F (friend-to-friend) анонимная сеть с теоретической доказуемостью на базе очередей (QB-задача). В отличие от известных анонимных сетей, подобия Tor, I2P, Mixminion, Crowds и т.п., сеть HL способна противостоять атакам глобального наблюдателя. Сети Hidden Lake для анонимизации своего трафика не важны такие критерии как: 1) уровень сетевой централизации, 2) количество узлов, 3) расположение узлов и 4) связь между узлами в сети, что делает её уникальной.
Исходный код анонимной сети Hidden Lake находится в открытом доступе на странице репозитория GitHub:
[COLOR=rgb(239, 239...
На заметку Дети - Хакеры
Кристофер фон Хассель, 5 лет
Кристофер фон Хассель стал самым молодым хакером в истории. Еще будучи пятилетним мальчиком, он обнаружил уязвимость в системе авторизации Xbox Live. Он смог войти в аккаунт своего отца, обойдя стандартную процедуру авторизации.Кристофер обнаружил, что если на втором экране подтверждения после ввода неправильного пароля просто нажать пробел, то можно авторизоваться в системе. Это было обнаружено методом «научного тыка».
Отец Кристофера, Роберт, который работает в сфере информационной безопасности, был поражен достижением сына и отправил отчет в Microsoft. Компания признала наличие уязвимости, исправила ее и даже внесла имя Кристофера в список исследователей безопасности на своем сайте. Кроме того, Microsoft щедро наградила юного хакера, подарив ему игры на 50 долларов и годичную подписку на Xbox Live.
Бетси Дэвис, 7 лет
Бетси Дэвис — семилетняя девочка из Южного Лондона...Информация Что-же это такое svchost.exe и зачем он нужен ?
Что такое svchost.exe?
svchost.exe (от англ. Service Host — "Хост служб") - это системный процесс в операционной системе Windows, который используется для хостинга и управления динамическими библиотеками (DLL), содержащими системные службы.
Поскольку многие службы Windows реализованы как DLL, svchost.exe позволяет им работать внутри общего процесса, что повышает эффективность использования системных ресурсов.
Зачем он нужен?
Эффективность ресурсов: Группируя несколько служб в одном процессе, система снижает нагрузку на оперативную память и процессор.
Упрощение управления: Позволяет легче управлять службами, обновлять и отлаживать их без необходимости изменять код ядра системы.
Стабильность системы: Разделение служб по разным процессам svchost.exe обеспечивает, что сбой одной службы не повлияет на работу других.
Как это работает?
Группировка служб: Службы Windows...
Поиск по форуму
Последние сообщения
-
-
-
ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров- Последнее: Spectrum735
-
-
-
