Категорически согласен. Даже в военных целях, в высокоточное вооружении, используют совместно с GPS/ГЛОНАСС для периодической коррекции, т.к. там на километр пройденного пути накапливается нехилая такая ошибка.
Если я иду в парк отдыхать, то беру с собой мангал и мясо :) Ну а по необходимости у меня в GNURadio набросан полноценный анализатор спектра, и его частенько приходится переопределять по факту. Готового софта просто не хватает. Поэтому мой выбор — SDR + ноут + GNURadio + python + C/C++. Вот тогда это становится интереснее и эффективнее)
Ну даже не знаю, что вам ответить… SDR — это то, что поставляет в мой ПК цифровой IQ сигнал и они уже размером с WiFi модуль для ноутбука. Все остальное названное — это не SDR.
У меня вот лабораторный стенд это sidekiq m.2 приведенный по ссылке и ноут с 15" диагональю, в котором вместо аудио входа и выхода вкручены пигтейлы для внешних антенн. Достаточно компактно и я с этим ноутом вполне себе в поле работаю.
А вот как раз лаборатория для меня — это GNURadio, которое позволяет работать со всем чем угодно и как угодно а не ограниченное программой готовое устройство. Другой вопрос, что такой формфактор в основном до 6ГГц покрывает и если выше необходимо смотреть — то да нужно искать что-то серьезнее.
Коллега, у всех устройств одинаковые IP (их невозможно поменять по условию). Соответственно тогда на интерфейсах в сторону этих устройств должны быть IP-адреса из одной подсети или пересекающихся подсетей. Попробуйте используя лишь одну таблицу маршрутизации добавить одинаковые IP-адреса на разные интерфейсы маршрутизатора.
Хотя… Policy-routing ведь уже после NAT`а будет отрабатывать. Тогда снова встает вопрос — как различать адрес назначения? Ведь после NAT`а он будет одинаковый. В таком случае все равно придется использовать маркировку, что приведет практически к такому же решению, только с PBR. Имеет право на жизнь, как альтернативное решение. С точки зрения эстетики в чем-то Вы и правы — PBR проще VRF.
Теперь, я, похоже, понял идею. И, если я правильно ее понял, в таком случае на управляющем хосте придется делать 4 виртуальных интерфейса, для каждого vlan`a. В принципе, задачу это решит, но усложнит настройку интерфейсов на MGMT PC.
В статье изложен вариант, в котором маршрутизатор берет на себя всю рутину и выступает в роли полноценного «переключателя». В таком случае на управляющем хосте нужно настроить только IP из нужной подсети.
Если просто по Vlan ID на управляющем хосте, то как на разные устройства, у которых одинаковые IP, заходить? Какие настройки IP предлагаете на управляющем хосте сделать?
«Вредоносная программа умеет направлять трафик от управляющего C&C-сервера к другим хостам, что позволяет эффективно обходить системы защиты NAT.»
NAT — это не «система», и уж тем более не защиты. Это необходимый «костыль» для протоколов стека TCP/IP, о котором «забыли» подумать, когда разрабатывали сами протоколы. Если этот механизм не позволяет обратиться к внутренним ресурсам сети, это не делает из него «систему защиты». Конечно на уровне пользователя это можно воспринимать и так, но в профессиональной среде такие формулировки режут слух.
За ссылку спасибо, но технологии AV мне известны гораздо больше, чем преподается в данном курсе. Думаю в нем не рассматривается под скальпелем самые сокровенные технологии, которые реализованы в KAV, ибо это хлеб создателя (и это логично). Вопрос не в том, какие методики используются для обхода эмуляции (о них много где можно почитать), а в том, как распознать применение данных методик в уже существующем примере.
Про «другие системы»… Не помню точную цитату и кто автор, но примерно так: «Я на 99% уверен, что данные, зашифрованные ключем N на жестком диске, находящемся на Нептуне не будут взломаны за время t. При t стремящемся к нулю, а N к бесконечности.»
Кстати, вытащил корректный дамп Password Stealer'а. Нигде не нашел более менее нормального описания, какие учетные данные он крадет. Может напишу небольшую заметку по этому поводу. Отчет на Virustotal.
Антивирусы молчат из-за протектора, который был разобран в первой статье. На данный семпл добавлена сигнатура (естественно разная для каждого антивируса), которая ничто иное, как просто «уникальная» последовательность байт для данного исполняемого файла. Если изменить хоть один байт из данной последовательности, то антивирусы снова замолчат. Чтобы покрыть все сигнатуры от всех антивирусов необходимо зашифровать всю секцию кода. Для обхода эвристиков шифруют строки и «прячут» таблицу импорта. Есть еще один механизм у антивирусов в контексте эвристики — эмулятор. Он имитирует исполнение файла на встроенной VM и одновременно проводит анализ сигнатур в процессе эмуляции, чтобы вскрыть неизвестные протекторы. Для обхода эмулятора используют неизвестные ему инструкции процессора и механизмы системы (общий подход, а так это отдельная тема). Про антиэмуляцию я упомянул в первой статье, но так и не смог найти участок кода, отвечающий за это. Поэтому, если кто подскажет, как это можно сделать (по каким принципам и методикам), буду очень признателен.
По поводу шифрованного контейнера — да. Структура его такова, что можно добавить любое количество исполняемых файлов. Я предполагаю, что в конструкторе данного Downloader'а предусмотрена возможность добавления DLL и EXE с выбором метода запуска на исполнение.
А для этого уже информационная безопасность должна проводить хоть какие-то мероприятия по обучению пользователей, а не смотреть на технические средства, как на 100% панацею.
Причем тут админ? У пользователей обычные пользовательские учетки, но при этом ведь никто им запускать бинарники не запрещает, они же пользуются различным ПО. Scr по сути своей такой же PE файл, как и exe, и, следовательно, его ему тоже никто не запрещает запускать. Криптолокер шифрует только пользовательские файлы, поэтому противоречий с правами не возникает.
Категорически согласен. Даже в военных целях, в высокоточное вооружении, используют совместно с GPS/ГЛОНАСС для периодической коррекции, т.к. там на километр пройденного пути накапливается нехилая такая ошибка.
А если появится интерес и что-то в ответ отправить?)
Если я иду в парк отдыхать, то беру с собой мангал и мясо :) Ну а по необходимости у меня в GNURadio набросан полноценный анализатор спектра, и его частенько приходится переопределять по факту. Готового софта просто не хватает. Поэтому мой выбор — SDR + ноут + GNURadio + python + C/C++. Вот тогда это становится интереснее и эффективнее)
Ну даже не знаю, что вам ответить… SDR — это то, что поставляет в мой ПК цифровой IQ сигнал и они уже размером с WiFi модуль для ноутбука. Все остальное названное — это не SDR.
У меня вот лабораторный стенд это sidekiq m.2 приведенный по ссылке и ноут с 15" диагональю, в котором вместо аудио входа и выхода вкручены пигтейлы для внешних антенн. Достаточно компактно и я с этим ноутом вполне себе в поле работаю.
А вот как раз лаборатория для меня — это GNURadio, которое позволяет работать со всем чем угодно и как угодно а не ограниченное программой готовое устройство. Другой вопрос, что такой формфактор в основном до 6ГГц покрывает и если выше необходимо смотреть — то да нужно искать что-то серьезнее.
Вы серьезно про компактность и стационарную работу?
https://www.ettus.com/all-products/usrp-b200mini-i-2/
https://www.xilinx.com/products/boards-and-kits/1-hydda0.html
В статье изложен вариант, в котором маршрутизатор берет на себя всю рутину и выступает в роли полноценного «переключателя». В таком случае на управляющем хосте нужно настроить только IP из нужной подсети.
NAT — это не «система», и уж тем более не защиты. Это необходимый «костыль» для протоколов стека TCP/IP, о котором «забыли» подумать, когда разрабатывали сами протоколы. Если этот механизм не позволяет обратиться к внутренним ресурсам сети, это не делает из него «систему защиты». Конечно на уровне пользователя это можно воспринимать и так, но в профессиональной среде такие формулировки режут слух.
Про «другие системы»… Не помню точную цитату и кто автор, но примерно так: «Я на 99% уверен, что данные, зашифрованные ключем N на жестком диске, находящемся на Нептуне не будут взломаны за время t. При t стремящемся к нулю, а N к бесконечности.»
По поводу шифрованного контейнера — да. Структура его такова, что можно добавить любое количество исполняемых файлов. Я предполагаю, что в конструкторе данного Downloader'а предусмотрена возможность добавления DLL и EXE с выбором метода запуска на исполнение.