Понимаю Ваш скепсис, этот момент может выглядеть не очень серьезно, но я все же решил добавить его в статью, потому что искусственный интеллект очень помог выполнить необходимые преобразования в коде, и это стало частью процесса реверса.
По поводу первого скрина: Декомпилятор действительно, упрощает жизнь, вы правы, но я его не стал использовать, потому что целью данной статьи было разобраться, как на низком уровне выглядит программа, как выглядят функции, циклы и т.д. и как может произойти восстановление исходника. Автоматический декомпилятор немного опускает эти моменты.
По второму скрину: Если честно, не знал про данную возможность, обязательно возьму на вооружение, спасибо!
Добрый день! Скорее всего у вас ошибка Access denied. На территории РФ сайт недоступен, но открывается с VPN. Поэтому в статье даем перевод, если у кого-то такие же сложности.
Конечно можем использовать, почему бы и нет? Про ELK написано в параграфе про анализ данных, единственное, что в статье вопрос рассматривается не в разрезе мониторинга в реальном времени, а в исследовании имеющихся данных уже после возникновения инцидента.
Смотрим. /var/log/* включает /var/log/journal, journalctl - это команда для просмотра журналов systemd, тем более, что они хранятся в бинарном виде. В статье перечислены только самые базовые файлы и каталоги, и, конечно же, никак не исключают остального.
Добрый день! Отличный вопрос, по этой теме мы уже запланировали отдельную публикацию. Если коротко, то в боевых условиях респондер может обойтись буквально 3-5 инструментами, чтобы разобраться и понять картину произошедшего в общих чертах. Если говорить более абстрактно, к списку таких маст-хэвов относятся наборы утилит Эрика Зиммермана и NirSoft для исследования артефактов Windows, "продвинутый" диспетчер задач - Process Hacker, а также FTK Imager, используемый как для сбора данных (от образов до отдельных файлов), так и для их анализа. Ну и, конечно же, интерпретатор командной строки, тут кто к чему привык. Однако все же есть множество дополнительных инструментов, помогающие разбирать уже частные случаи и парсить более специфичные источники артефактов. Об этом в следующем выпуске.
Если пользователь имеет права администратора или рута, то нет особой разницы в том, какая ОС установлена.
OSINT - это опция и рекомендация по умолчанию от SOC :)
В ближайшее время планируем материалы по этой теме. Если интересны какие-либо аспекты, пишите, попробуем раскрыть дополнительно.
Спасибо, в копилку
Ответ от нашего автора:
Понимаю Ваш скепсис, этот момент может выглядеть не очень серьезно, но я все же решил добавить его в статью, потому что искусственный интеллект очень помог выполнить необходимые преобразования в коде, и это стало частью процесса реверса.
Даем комментарий Никиты
По поводу первого скрина:
Декомпилятор действительно, упрощает жизнь, вы правы, но я его не стал использовать, потому что целью данной статьи было разобраться, как на низком уровне выглядит программа, как выглядят функции, циклы и т.д. и как может произойти восстановление исходника. Автоматический декомпилятор немного опускает эти моменты.
По второму скрину:
Если честно, не знал про данную возможность, обязательно возьму на вооружение, спасибо!
Добрый день! Скорее всего у вас ошибка Access denied. На территории РФ сайт недоступен, но открывается с VPN. Поэтому в статье даем перевод, если у кого-то такие же сложности.
Конечно можем использовать, почему бы и нет? Про ELK написано в параграфе про анализ данных, единственное, что в статье вопрос рассматривается не в разрезе мониторинга в реальном времени, а в исследовании имеющихся данных уже после возникновения инцидента.
Смотрим. /var/log/* включает /var/log/journal, journalctl - это команда для просмотра журналов systemd, тем более, что они хранятся в бинарном виде. В статье перечислены только самые базовые файлы и каталоги, и, конечно же, никак не исключают остального.
Согласны, но это уже дело привычки.
Какие ещё инструменты вы используете?
Отличное замечание, еще одна опция в копилку. Спасибо!
Добрый день! Отличный вопрос, по этой теме мы уже запланировали отдельную публикацию.
Если коротко, то в боевых условиях респондер может обойтись буквально 3-5 инструментами, чтобы разобраться и понять картину произошедшего в общих чертах. Если говорить более абстрактно, к списку таких маст-хэвов относятся наборы утилит Эрика Зиммермана и NirSoft для исследования артефактов Windows, "продвинутый" диспетчер задач - Process Hacker, а также FTK Imager, используемый как для сбора данных (от образов до отдельных файлов), так и для их анализа. Ну и, конечно же, интерпретатор командной строки, тут кто к чему привык. Однако все же есть множество дополнительных инструментов, помогающие разбирать уже частные случаи и парсить более специфичные источники артефактов.
Об этом в следующем выпуске.