Форум информационной безопасности - Codeby.net
Статья FASM - многоязычный интерфейс программ Win-MUI
Многоязычный интерфейс — обязательное требование заказчиков. Готовые решения либо платные, либо раздувают размер программы, либо хранят строки внутри скомпилированных DLL. Разбираем два метода на WinAPI без сторонних библиотек.Метод 1: двойные ресурсы в PE-файле. Один и тот же ID диалога и меню описывается дважды — для LCID_RUSSIAN (0x0419) и LCID_ENGLISH (0x0409). Загрузчик Windows сам выбирает нужный по предпочтительному языку через GetSystemPreferredUILanguages(). SetThreadPreferredUILanguages() подменяет его до создания окна — тогда интерфейс переключается без перезапуска программы.
Метод 2: внешние .LNG-файлы в формате INI. FindNextFile() перебирает все LNG в директории, GetPrivateProfileString() читает строки по числовым ключам в цикле, SendMessage() перезаписывает элементы окна. Добавить новый язык — создать файл рядом с EXE.
Строковые ключи 3001=Процессор вместо имён позволяют читать все строки в одном цикле. Осмысленные имена — ад при сотнях строк.Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска
Учётка бухгалтера в 2:47 ночи запустила PsExec — DLP молчал четыре дня, пока compromised insider сливал финотчётность на Dropbox. Один тикет, 40 человеко-часов реагирования и полный пересмотр модели привилегированного доступа.Malicious, negligent и compromised — три разных kill chain, три разных набора индикаторов. Malicious инсайдер эксфильтрует 300 МБ за 14 дней мелкими порциями — DLP слеп к такому ритму. Negligent сотрудник копирует данные в ChatGPT «для быстрого анализа» — классические политики этот канал не покрывают.
Compromised insider — внешний атакующий за рулём легитимной сессии.
SOC ловит все три типа одним правилом — именно поэтому compromised insider сидит в сети незамеченным неделями.Статья Stalkerware обнаружение на Android: технические отличия от коммерческого spyware и индикаторы компрометации
Три APK без иконок в launcher, wake lock каждые 15 минут и HTTP к shared-хостингу — stalkerware на Android оставляет грубые артефакты. Pegasus не оставляет ничего: ни DeviceAdmin, ни записей в pm list packages.Stalkerware цепляется за DeviceAdminReceiver и Accessibility Services — проверяется через adb shell dumpsys device_policy и adb shell settings get secure enabled_accessibility_services. В logcat виден RECORD_AUDIO, аномальные wake lock'и, HTTPS к дешёвым хостингам. MITRE T1036, T1056.001, T1113 — весь набор без единого kernel-эксплойта.
SOC ищет сложные TTPs — stalkerware детектируется через adb за 3 минуты, но его не ищут.Статья Постквантовая криптография в пентесте: инструменты аудита и чеклист поиска слабых алгоритмов
На криптоаудите финтех-API обнаружены TLS 1.0 с RC4 на внутренних эндпоинтах — межсервисный трафик, не обновлявшийся с 2018 года. Через полтора месяца threat intelligence зафиксировал артефакты Harvest Now, Decrypt Later на сетевом оборудовании.RC4 ломается классическими методами без квантового компьютера — BEAST, POODLE, Sweet32 актуальны прямо сейчас. RSA-2048 на внешнем периметре — горизонт ближайшего десятилетия. Статья разбирает оба уровня: testssl.sh для массового TLS-аудита, sslyze для парсинга cipher suites, OpenSSL 3.x для диагностики PQC KEM. MITRE T1040, T1557, T1600.001 — конкретные техники под каждый сценарий.
SOC мониторит эндпоинты — HNDL работает на сетевом уровне. RC4-трафик пишется сегодня, расшифровывается позже.Writeup Web | Галерея | HackerLab
Сервис отображает фотографии по URL — первая же мысль: SSRF. Попытка загрузить .php-шелл отклонена фильтрацией расширений. Переименование в .png позволяет загрузить файл, но вывод пуст. Ключевой момент — .txt открывает выполнение команд.PHP-шелл system($_GET['cmd']) публикуется через python3 -m http.server + утилиту clo от cloudpub: локальный сервер становится публично доступным без регистрации домена. Этот шаг официальный WriteUp обходит стороной, хотя именно он ставит новичков в тупик.
Цепочка: .php заблокирован → .png загружается, вывод пустой → .txt — команды выполняются. Чтение исходников через URL-кодированный cat index.php обходит ограничения разбора спецсимволов. Флаг получен из исходного кода.
Три расширения — три разных поведения одного фильтра. Перебор расширений — обязательный шаг при file upload bypass.Статья Мониторинг безопасности OT-сетей: Nozomi, Claroty, Dragos — что выбрать и как интегрировать в SOC
Dragos зафиксировал 708 ransomware-инцидентов в промышленном секторе за Q1 2025 — 68% в manufacturing. Модель Purdue мертва: лишь 8,2% организаций держат OT полностью изолированными, а корпоративный SIEM не парсит Modbus TCP.Nozomi Guardian, Claroty и Dragos — три принципиально разные архитектуры. Nozomi строит поведенческий baseline через SPAN-порт и масштабируется на 50+ площадок, но containment требует ручных действий. Claroty делает ставку на глубокий разбор протоколов — DNP3, Profinet, EtherNet/IP. Dragos заточен под threat intelligence с привязкой к конкретным группировкам: CHERNOVITE, BENTONITE, VOLTZITE.
EDR молчит, Windows Event Log пуст — атака идёт на уровне Modbus-команд между легитимными хостами.Статья Аудит криптографии в приложениях: поиск слабых алгоритмов, hardcoded ключей и ошибок реализации
jadx вскрыл PaymentCryptoHelper за 12 минут: AES-256 в CBC-режиме, ключ вшит строковой константой — одинаков для каждой установки. OWASP A02:2021, CWE-321, штраф по GDPR до 4% выручки.apktool извлекает hardcoded ключ за минуту — и трафик 200 тысяч транзакций в сутки расшифрован. Semgrep с кастомными YAML-правилами ловит MD5, SHA-1, DES в Java и Python за минуты. TruffleHog сканирует всю git-историю с флагом --only-verified, проверяя ключи против AWS, GCP, Stripe.
ECB-режим, CBC без HMAC, Math.random() вместо SecureRandom, повторный IV — формально AES-256, по факту нулевая стойкость.
Аудиторы проверяют алгоритм — APK-ревёрсер смотрит на константы. Правильный алгоритм с hardcoded ключом хуже, чем слабый с KMS.