На рубеже тысячелетий Microsoft выпустила Windows 2000 Server — систему, которую я вспоминаю с особым трепетом, особенно в связке с IIS 5.0. Именно поэтому сегодня хочу рассказать о том, почему серверы на этой ОС когда-то считались эталоном надёжности и удобства, и что привело к закату этой легендарной связки. Приглашаю под кат.
Помню, как месяц назад я лихорадочно перебирал старые фотографии, пытаясь вспомнить, когда именно был сделан тот самый кадр — рассвет в горах, который потом стал моей любимой заставкой. Даты в названиях файлов не было, а в их свойствах отображалась только дата последнего изменения. Именно тогда я по‑настоящему осознал ценность метаданных фото, этих скрытых сокровищ информации, вшитых в каждый наш снимок.
Метаданные, или, как их чаще называют в контексте фотографий, EXIF, а также IPTC и XMP — это скрытый цифровой паспорт изображения. В этот блок данных записывается всё — от модели камеры и объектива, выдержки, диафрагмы и ISO до точных координат съёмки (если включён GPS), даты и времени вплоть до секунды, авторских прав и даже описания сцены.
Для фотографа это бесценный инструмент для анализа своей работы. Для организатора фотоархива это ключ к систематизации. Для обычного пользователя — способ точно вспомнить, где и когда был сделан кадр. Проблема лишь в том, что стандартные средства операционной системы показывают лишь малую часть этой информации, поэтому нужны специальные инструменты, и я отправился на их поиски.
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили в наш список еще 2 трендовые уязвимости в продуктах Microsoft.
Меня зовут, Дмитрий, просто Дима.
Каждый день, я готовлю однообразные документы, в которых нужно печатать страницы - одинаково (однообразно):
1 (ую) и 2 (ую) страницы, двойной печатью по длинному краю;
3 (ью) и 4 (ую) по короткому краю (эти листы горизонтальные);
5 (ую) страницу отдельно (только 1 лист).
Каждый день, из раза в раз, нужно было настраивать диапазон для печати. И в один момент (спустя 3 дня) мне это надоело и было решено написать программу, с помощью которой можно будет распечатать этот документ - одним нажатием мыши.
Спойлер - мне удалось. Но пришлось поискать информацию. А информации на русском не очень много, поэтому искал преимущественно в английских источниках. Что и вдохновило на написание это статьи.
Четыре года назад Microsoft громко заявила о революции в производительности Windows 11. Новая версия ОС обещала быть быстрее предшественницы благодаря оптимизациям под современное железо. Компания даже проводила многократные демонстрации, показывающие превосходство новой системы над старой. Но пользователи так и не заметили обещанных улучшений: ни сразу после релиза, ни через год, ни через два. И это невзирая на неоднократные попытки Microsoft изменить ситуацию к лучшему. Будем надеяться, что в этот раз ей это действительно удастся.
Всем привет!
Многие знают, что в Windows есть встроенная функция «Распознавание речи», а в новых версиях — «Голосовой ввод» (Win + H). Это неплохие инструменты, но меня в них всегда смущали несколько моментов: непрозрачность в вопросах приватности, ограниченная кастомизация и глубокая интеграция в систему, которую не всегда удобно настраивать.
Хотелось чего-то простого, гарантированно оффлайнового и с открытым исходным кодом, чтобы точно знать, как оно работает. Так родилась идея создать Scribe — полностью автономного и максимально гибкого голосового ассистента.
В основе — приватность, автономность и гибкость.
Я постарался реализовать функции, которых мне не хватало в других программах.
В то время как операционные системы становятся все требовательнее к ресурсам, а железо — не всегда успевает за ними, Microsoft делает неожиданный разворот. Упрощенная Windows 11 SE, с которой компания пыталась закрепиться в сегменте недорогих устройств, тихонечно уходит в прошлое. Проект закрыт, поддержка скоро закончится — и миллионы бюджетных ноутбуков остаются без этой ОС. Microsoft всё яснее показывает: ее приоритет — облака, ИИ и бизнес-клиенты, а не дешёвые ноуты для школ и дома. Что происходит?
Зачем? — У меня и самой был запрос на такую программу. Программу с кучей «нестандартных» символов. Существующие решения не отвечали моим потребностям и тогда я решила создать своё, подходящее под мои хотелки: многоязычный ввод, ввод типографских, математических и даже алхимических символов. И теперь я надеюсь, что сие «изобретение» окажется полезным не только для меня.
Такой инструмент необходим мне для разработки вселенной — построение канона культур, писательство (именно работа над книгой стала триггером для начала разработки) и работа с языками. Создавать новые языки на основе существующих систем ныне будет проще — все нужные символы как на ладони.
В статье представлен обзор на DSL KeyPad и его основные фичи, благодаря которым вы сможете печатать с внушительным арсеналом символов, имея всего-то две языковые раскладки: русскую и английскую. Румынский? Немецкий? Или может быть Вьетнамский? Старославянский? Да легко — множество комбинаций и ряд фич позволит вам писать на куче языков. Да хоть Германские руны и Глаголицу печатать. Прилагаются и широкие возможности кастомизации под свои нужды.
А это примеры названий языков и систем, написанные с помощью моей программы:
Қазақ тілі, Хуэйзў йүян, Забони тоҷикӣ, Йағнобӣ зивок, Аԥсуа бызшәа, Авар мацӏ, Українська мова, Словѣньскъ ѩꙁꙑкъ, Црногорски језик, Ли́мба Рꙋмѫнѣскъ, Итәнмәӈин крвэԓхатас, Даһур Усүүэ, Эвэды̄ турэ̄н, Азәрбајҹанҹа, Башҡорт теле, Тэлэңгэт, Чӑваш чӗлхи…
Ænglisċ sprǣċe, Français, Tiếng Việt, Hànyǔ Pīnyīn, Norrœnt mál, Limba Română, Español, Język polski, Čeština, Bokmål, Tamaziɣt, Türkçe, Sää’mǩiõll…
Всем привет!
Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.
Что нужно для взаимодействия с операционной системой исключительно через клавиатуру? Это вопрос, на который каждый разработчик даст свой ответ, и как на него ответили Microsoft, выпустив Windows Terminal?
Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен?
Один из возможных вариантов — использование атакующими техники DLL-Hijacking (Mitre T1574.001). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»).
Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним.
Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу.
В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек.
Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него.
В этой статье мы:
За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки.
Осветим примеры атак с подменой DLL согласно их классификации.
Расскажем о защитных мерах для предотвращения атак этого типа.
Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки).
Итак, добро пожаловать под кат!
Как получить бан в Call of Duty без читов. Расследование одного бага.
Установи Windows не на NTFS и получи подарок
В последние месяцы я всё чаще сталкиваюсь с ситуациями, когда привычные VPN-соединения становятся всё менее надёжными или вовсе блокируются. Для тех, кто, как и я, продолжает получать доступ к домашней инфраструктуре из-за границы, особенно из стран с усиливающимся контролем за трафиком, это уже не просто неудобство, а реальный риск потери стабильной связи.
Моя собственная схема — домашний сервер за WireGuard-эндпоинтом — уже не раз демонстрировала странности: внезапные падения скорости, потеря UDP-пакетов (особенно в мобильных сетях). Всё вроде работает, но как-то не так: туннель подключается, но затем «виснет» или показывает подозрительно низкую пропускную способность. В таких случаях надёжным обходным путём становится туннелирование TCP-трафика через SOCKS5-прокси, например, поверх SSH.
Но и у SOCKS5 есть ограничение — сам по себе он ничего не даст, если не существует механизма для перенаправления трафика от нужных приложений. Многие программы не поддерживают прокси напрямую, а системный прокси на Windows — история сложная и не всегда результативная.
Хабр, привет! На связи Александр Леонов из Экспертного центра безопасности Positive Technologies (PT Expert Security Center), дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили 3 трендовые уязвимости.
Привет, Хабр! По горячим следам нашей большой статьи про векторы атак ESC1-ESC15 мы — команда PT Cyber Analytics — решили подробно разобрать относительно новый вектор атаки ESC16. Возможность обнаружения и эксплуатации этого вектора была добавлена в майском обновлении ПО Certipy.
Рабочая задача: развернуть VPN на MikroTik с поддержкой L2TP и PPTP, авторизация — через Radius.
В роли серверов — стандартные для нас RouterOS CCR1016-12G. Параллельно возникло требование: подобрать клиент под Windows, чтобы можно было просто передать пользователям исполняемый файл, и они могли подключиться — без инструкций, .bat-файлов и шаманства.
Настоящая публикация - перевод " Baris Dincer / Cyber Threat Intelligence Investigator & CIO / Lex Program - Windows User Activity Analysis".
ВВЕДЕНИЕ
Анализ активности пользователей Windows является краеугольным камнем расследований в области цифровой криминалистики и реагирования на инциденты (DFIR). Этот процесс включает в себя изучение артефактов, создаваемых в результате взаимодействия пользователя с операционной системой Windows, приложениями и сетевыми ресурсами. Эти артефакты, часто разбросанные по журналам событий, записям реестра, метаданным файловой системы и журналам, специфичным для приложений, предоставляют хронологическое повествование о действиях пользователя. Анализируя эти данные, следователи могут восстановить события, предшествующие и последующие инциденту безопасности, идентифицировать вовлечённых лиц и установить методы, использованные злоумышленниками.
Значение анализа активности пользователей Windows трудно переоценить в контексте современных вызовов кибербезопасности. Поскольку Windows является широко используемой операционной системой в корпоративной среде, она часто становится основной целью кибератак и внутренних угроз. Исследование активности пользователя на скомпрометированной системе позволяет организациям понять масштаб и последствия инцидента. Например, такой анализ может выявить несанкционированный доступ, попытки вывода данных или умышленное злоупотребление привилегиями. Кроме того, он играет важную роль в выявлении пробелов в средствах защиты и установлении шаблонов, указывающих на появляющиеся угрозы.
A practical guide to backing up Revit Server Models V2
Практическое руководство и решение задачи бэкапа ревит-сервера на файловом уровне.
Данная статья посвящена уязвимости в Power Dependency Coordinator (CVE-2025-27736), исправленной Microsoft в апреле этого года.
В описании CVE сказано, что баг связан с раскрытием информации (адресов ядра).
Exposure of sensitive information to an unauthorized actor in Windows Power Dependency Coordinator allows an authorized attacker to disclose information locally.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27736
Exploiting this vulnerability could allow the disclosure of certain memory address within kernel space. Knowing the exact location of kernel memory could be potentially leveraged by an attacker for other malicious activities.
В контексте изменений Windows 11 24H2 с ограничением NtQuerySystemInformation для определения адресов объектов, баги такого типа становятся еще более актуальны, поэтому мне стало интересно посмотреть пример такой уязвимости.
Из инструментов потребуются IDA Pro, BinDiff, WinDbg, для тестирования - Windows 11 или Windows 10 x64 с обновлениями до апреля 2025 (для тестирования работоспособности PoC) и актуальными обновлениями (для тестирования PoC после обновления).
.
Привет, Хабр! Хочу поделиться историей как я портировал свой (очень)старый пет-проект с Delphi 7 на Zig с помощью LLM. Утилиты rulers (экранные линейки, «как в фотошопе»). В 2007 году это был простой инструмент для замеров и выравнивания элементов интерфейса прямо на экране, написанный на Delphi.
Почти два десятилетия спустя я решил воскресить его, но с современным подходом: портировать на zig, да ещё и задействовав LLM для автоматизации. Почему? Потому что я реально фанатею от языка zig, и руки так и чешутся на нём что-то написать. Но переписывать не маленький кусок старого кода — занятие довольно унылое, и я всё откладывал его в «долгий ящик». С другой стороны, я, как реальный ИИ-скептик, с сомнением отношусь к новомодному вайб-кодингу и не доверяю таким инструментам. Но, всё же я решил рискнуть и попробовать, если не для написания нового кода, то хотя-бы для портирования уже написанного. Наверное, шанс на успех тут будет выше. Эта статья о том, что у меня получилось (и не получилось).
