18+

Хакер {Hacker}

Telegram t.me web k

Статистика

Вся статистика

13750

Подписчики

Посты (30 дней)

18.96%

ERR%

0.00

Средний охват (сутки)

Язык

Russian

Описание:

Канал о кибербезопасности
- Защита
- Кодинг
- Новости
- Интервью
- Безопасность в сети

По всем вопросам @evgenycarter

РКН clck.ru/3KoG7p

Телеграм канал Хакер {Hacker} @thehaking добавлен на наш сайт 06.07.2022
Информация о канале обновлена 02.10.2025.

Посты

Все посты

Где узнать о передовых технологиях в сфере ИБ?

На III ежегодной конференции по защите данных «Гарда: Сохранить всё. Безопасность информации»!

👓 Эксперты в области ИБ и IT, права, CISO и CIO крупнейших компаний, представители Минцифры и ФСТЭК встретятся, чтобы обсудить текущие вызовы в сфере кибербезопасности.

В этом году в фокусе внимания — защита персональных данных и искусственный интеллект.🤖

На конференции
✔️ Более 2000 участников
✔️ 30+ экспертов
✔️ 3 трека: про технологии, стратегию и практику

🔔 Мероприятие подводится при поддержке ФСТЭК и Минцифры.

Ждем вас 16 октября в московском конгресс-центре Soluxe. Участие бесплатное по предварительной регистрации.

🟣 Присоединяйтесь!

#реклама
О рекламодателе

📌 Что такое Import в PE-файле

Когда Windows запускает .exe или .dll, она подгружает внешние библиотеки и подставляет реальные адреса функций в таблицу импорта.
На инфографике показано, как устроена секция .idata и как работают ключевые структуры: Import Directory Table, ILT, IAT и Hint/Name.

Ключевые мысли:

🧩 Import Directory - список DLL и их записей импорта.
🔗 Import Lookup Table (ILT) - ссылки на имена функций (RVA).
🚀 Import Address Table (IAT) - на диске совпадает с ILT, в памяти заполняется реальными адресами функций. Программа вызывает функции через IAT.
🕵️‍♂️ IAT-hooking - техника подмены адресов в IAT (можно перехватить вызовы или вставить вредоносный код).
📌 Отличие: ILT - что нужно найти; IAT - куда загрузчик записывает реальные адреса.

Знание структуры импорта помогает разбираться в загрузке модулей, отладки, реверсе и защите от инъекций/хуков.

👉@thehaking

В сеть попали 600 ГБ исходных кодов и документов, связанные с «Великим китайским файрволом»

Исследователи из команды Great Firewall Report сообщают, что произошла крупнейшая утечка данных за всю историю существования «Золотого щита», который также называют «Великим китайским файрволом».

В сеть попали около 600 ГБ внутренних документов, исходных кодов, рабочих логов и внутренней переписки разработчиков, а также репозитории пакетов и операционные руководства, используемые для создания и поддержания китайской национальной системы фильтрации трафика.

https://gfw.report/blog/geedge_and_mesa_leak/en/

👉@thehaking

🕵️ Анатомия Windows Reverse Shell

Reverse Shell - один из самых популярных инструментов у атакующих. С его помощью злоумышленник получает удалённый доступ к командной строке жертвы.

На картинке - пошаговая схема, как работает reverse shell в Windows:

1️⃣ Доступ к TEB
Shellcode начинает с чтения Thread Execution Block (TEB) через регистр GS.
TEB хранит информацию о текущем потоке.

2️⃣ Получение PEB
Через TEB находится Process Environment Block (PEB) - структура, где хранится список всех загруженных DLL.

3️⃣ Поиск нужной DLL
PEB содержит список модулей (InMemoryOrderModuleList).
Злоумышленник обходит его, чтобы найти, например, kernel32.dll.

4️⃣ Export Directory
В заголовке PE каждой DLL есть Export Directory - список экспортируемых функций и их адресов.

5️⃣ Хеширование имён функций
Вместо прямого обращения malware хеширует названия функций (LoadLibraryA, CreateProcessA, и т.д.) и ищет совпадения - это помогает скрыть активность от антивирусов.

6️⃣ Создание реверс-шелла
Когда все нужные функции найдены:

- создаётся процесс cmd.exe,
- его stdin, stdout и stderr перенаправляются в TCP-сокет,
- атакующий получает удалённый доступ к системе.

💡 Техника PEB Walking
Весь процесс поиска функций вручную называется PEB Walking.
Он позволяет обойти защиту, так как нет явных импортов функций в заголовке PE-файла.

👉@thehaking