Вы молодец что нашли что чистая винда без интернета что-то умеет. Нашли куски компонента о наличии которых обычно никто не задумывается.
Но, пожалуйста, перестаньте приплетать безопасность. Наличие/отсутствие компилятора мало что меняет в этом плане. Считать что раз у меня нет компиляторов, то у меня не запустят эксплоит это Security through obscurity.
Первое что делал нормальный линуксовый сисадмин до эпохи виртуализации это удаление компиляторов с сервера, чтобы нельзя было локально собрать эксплоит для эскалации привилегий.
Увольте его пожалуйста.
Абсолютно не важно в каком виде придет эксплоит.
Именно что в этом наличии.
Это самообман.
Если вы говорите про безопасность, она кончилась на момент как у вас злоумышленник получил доступ к ПК с возможность создавать (не важно как файл запущен) и запускать файлы.
Вы можете скомпилировать у себя на компе бинарник заранее и так же записать его по байтам.
ну да, в винде есть полноценный .NET Framework, HTTP.SYS и иже с ними. Доступен PowerShell(и не важно, скрипт не скрипт, в нем доступен весь .NET)
Поиграться можно, но что вы хотите этим сказать?
Не понятно поверхность атаки, имея на компе возможность запускать скрипты у вас и без этого достаточно векторов атаки.(кто мешает накидать не код, а по HEX'у передать бинарник)
PS: антивиры проверяют обычно совсем все, + отпечаток приложения зависит не от того где собран, а от версий инструментов.
Замечу, что в решении TSC есть решение только о блокировке доступа к реестру(сервису), но нет ни слова об удалении провайдеров.
Там разница лишь в наличии галочки.
В том меню от ваших действий не может ничего добавится.
Это не список программ или установленного.
Это список доступного(плюс галочка если установлено)
Все что ставите позже находится в обычных программах.
А чистота уже не важна.
Это там где HyperV включается и тп.
Там записи зависят от версии видны поидее
Ну кстати в установке и удалении компонетов(от старого списка программ) отображаются 3.5 и 4.8
Нет там дочернего процесса.
Подключается как обычная библиотека .net
Вы говорили про ввод-вывод и передачу данных.
Внутри себя PowerShell передаёт объекты как и шарп.
Это код на powershell с динамической компиляцией кода C#, поддержка которого рантаймом .NET известна.
когда называешь вещи своими имена выглядит немного иначе, не так ли?
нет они есть в рантайме, так как System.CodeDom часть рантайма.
и мы тут же получим кучу ошибок HTTPS при попытке подмены трафика.
основные библиотеки совместимы довольно широко. Или у вас при обновлении любой библиотеки вся система пересобиралась?
Плюс большинство эксплоитов так же идет под определенные версии библиотек.
у меня сейчас бинарник виктории метрикс работает как под CentOS7 так и под Убунтами начиная с 20.04(тот же бинарник).
Так же и .Net Core
То есть для экспоита вам придется или изучать систему, или тупо тыкаться на наличие дырки.
она лишь интерфейс.
Напишу отдельно.
Вы молодец что нашли что чистая винда без интернета что-то умеет. Нашли куски компонента о наличии которых обычно никто не задумывается.
Но, пожалуйста, перестаньте приплетать безопасность. Наличие/отсутствие компилятора мало что меняет в этом плане. Считать что раз у меня нет компиляторов, то у меня не запустят эксплоит это Security through obscurity.
На практике никто не задумывается, я давненько замечал это.
Потому что когда вы разрабатываете вы ставите IDE и она уже проверяет все что нужно обычно.
Увольте его пожалуйста.
Абсолютно не важно в каком виде придет эксплоит.
Это самообман.
Если вы говорите про безопасность, она кончилась на момент как у вас злоумышленник получил доступ к ПК с возможность создавать (не важно как файл запущен) и запускать файлы.
Вы можете скомпилировать у себя на компе бинарник заранее и так же записать его по байтам.
ну да, в винде есть полноценный .NET Framework, HTTP.SYS и иже с ними. Доступен PowerShell(и не важно, скрипт не скрипт, в нем доступен весь .NET)
Поиграться можно, но что вы хотите этим сказать?
Не понятно поверхность атаки, имея на компе возможность запускать скрипты у вас и без этого достаточно векторов атаки.(кто мешает накидать не код, а по HEX'у передать бинарник)
PS: антивиры проверяют обычно совсем все, + отпечаток приложения зависит не от того где собран, а от версий инструментов.
Такого ни разу не замечал, тут первый раз вижу что установка запущена одним приложением, а по факту пишет что установлено другим.
Хотя сторонние сторы у меня стоят. + приложение с плагинами(тоже стороннее)
Итого зачем-то насильно маскируют что ставили не они.
---удалено, чистота эксперимента была нарушена---
не знаю почему от имени самсунг стора, это очень странно.
Но как минимум за счет того что левое приложение они тупо напихали разрешений.
В общем снёс нафиг, поведение вирус напомнило.
см ниже, не, не выданы.
Да и это первая установка.
поставил какую-то хрень, что интересно она поставилась от имени Galaxy store. Видимо нашли какую-то уязвимость.
Очень классное поведение(и нет, у всех остальных приложений телефон пишут верно источник)