متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
Source Byte
الذهاب إلى القناة على Telegram
هشیار کسی باید کز عشق بپرهیزد وین طبع که من دارم با عقل نیامیزد Saadi Shirazi 187
إظهار المزيد7 857
المشتركون
+1124 ساعات
+557 أيام
+19430 أيام
أرشيف المشاركات
7 854
Windows Registry Forensics Learning Path
https://www.infosecinstitute.com/skills/learning-paths/windows-registry-forensics/
following file just include videos & pdf ( thanks " ᏗᏰᏂᎥᏝᏗᏕᏂ ֆɨռɢɦ 🇮🇳 " for sharing the file )
7 854
Repost from Go Casts 🚀
یادگیری زبان Rust احتمالا یکی از کارایی هست که خیلی هامون دوست داریم انجام بدیم. بعضی ها هم ممکنه انجامش داده باشن و لذت ش رو برده باشن.
سایت corrode.dev مقاله های جذابی منتشر میکنه در مورد Rust
این مقاله یه لیست جذاب داره از منابعی که شما میتونید برای یادگیری Rust ازش استفاده کنید.
در مورد یادگیری زبان جدید هم یه تجربه خوب شاید این باشه که سعی کنید گاه و بیگاه در مورد زبان مورد نظرتون مطالعه پراکنده داشته باشید، این مطالعه درک شما رو نسبت به مفاهیم و جذابیت های زبان بیشتر میکنه و به شما شوق بیشتری میده که یادش بگیرید.
Learning Material for Idiomatic Rust
https://corrode.dev/blog/idiomatic-rust-resources/
@gocasts
#rust
7 854
Repost from N/a
Fascinating C code: TCP sockets & HTTP file downloads using only ntdll exports (NtCreateFile & NtDeviceIoControlFile syscalls). Bypasses Winsock for low-level Windows networking.
https://www.x86matthew.com/view_post?id=ntsockets
#Windows
#Programming
7 854
Repost from 1N73LL1G3NC3
TokenAssignor
This tool tries to steal token from a specified process and execute a token assigned process. Most of methods require administrative privileges.
Currently, 4 methods are implemented:
• To execute a token assigned process with CreateProcessAsUser API, set -m option to 0; • When set -m option to 1, this tool tries to create a suspended process and update the primary token to a stolen token. This method cannot be used for changing Session ID due to kernel restriction; • If set -m option is set to 2, creates a new token assigned process with Secondary Logon Service; • If set -m option is set to 3, creates a new token assigned process with PPID spoofing method.
7 854
(In)direct Syscalls: A journey from high to low
RedOps | Red Team Village | DEF CON 31syllabus:
01: Introduction and Abstract 02: Prerequistes 03: Chapter 1 | Windows NT Basics 04: Chapter 2 | Windows OS System Calls 05: Chapter 2 | LAB Exercise Playbook 06: Chapter 3 | Concept of Direct Syscalls 07: Chapter 4 | Win32 APIs 08: Chapter 4 | LAB Exercise Playbook 09: Chapter 5 | Native APIs 10: Chapter 5 | LAB Exercise Playbook 11: Chapter 6 | Direct Syscalls 12: Chapter 6 | LAB Exercise Playbook 13: Chapter 7 | Indirect Syscalls 14: Chapter 7 | LAB Exercise PlaybookAll the theory and playbooks for the exercises can be found in the wiki, which together with the prepared POCs is the heart of this project. The POCs for the exercises can be found here on the main page. https://github.com/VirtualAlllocEx/DEFCON-31-Syscalls-Workshop.git #redteam #malware_dev
7 854
“Beeep!”
How Malware Uses the Beep WinAPI Function for
[ Anti-Analysis ]
#malware_analysis
7 854
Repost from PCSG • Girls in Cybersecurity
درود 👩🏻💻
به علت اهمیت بسیار زیاد فریم ورک Mitre، تلاش کردیم که نسخه فارسی تکنیک ها رو برای شما همراهان علاقهمند به این حوزه آماده کنیم؛ این سری تکنیک Drive-by Compromise رو براتون قرار دادیم، امیدواریم که براتون مفید باشه.
مثل همیشه از همراهیتون ممنونیم 😊🙏
-------------------------
📌 MITTRE ATT&CK - T1189
✨ Sepide Zamani & Azita Zoughi
🔖 #Paper / #Persian
🔗 Related: #MITRE_Series
Technique: Drive-by Compromise
🌍 Channels • Website • Boost
📑 #PCSGCommunity #RedTeam #BlueTeam #Mitre #Technique
7 854
Repost from An Inspired Engineer
کرنل چطور میدونه توی این لحظه کدوم پروسس روی یک هستهی cpu در حال اجراست؟
کرنل تسک(پروسس)هایی که در حال اجرا هستن رو توی یک Linked List به صورت double به اسم task list نگهداری میکنه، ساختمون داده ای که این linked list نگهداری میکنه task_struct هست که نسبتا بزرگه و تمامی اطلاعاتی که کرنل نیاز داره تا بروی پروسس ها context switch انجام بده یا چه فایل هایی توسط این پروسس بازه، وضعیت پروسس چیه، فضای آدرس حافظه کجاست و ... رو توی خودش داره.
نکته:
هر پروسس توی فضای کرنل یک استک داره که کرنل اطلاعات مربوط به این پروسس، ادرس برگشت متد ها، متغیرهای محلی و... رو توش نگهمیداره. و توی معماری x86 کرنل پوینتر ساختمون داده task_struct متعلق به هر پروسس رو توی انتهای استک همون پروسس میزاره، یعنی اگه از انتهای استک یک پروسس به عقب برگردیم به اطلاعات اون پروسس دسترسی داریم(البته که توی فضای کرنل).
خب حالا خود کرنل چطور به تسکی که الان در حال اجراست میرسه تا بتونه اصلا به task_struct دسترسی داشته باشه؟
همونطور که بالاتر گفتم لیست تسک ها توی یک linked list نگهداری میشن و برای اینکه بتونیم تسکی که در حال اجراست رو پیدا کنیم باید کل لیست رو بگردیم، شاید روی ماشین های خونگی به چشم نیاد ولی روی سرورهایی که چندین هزار پروسس میتونن داشته باشن O(n) هزینهی بالایی محسوب میشه. راه حل؟ کرنل میاد برای اینکه تسک درحال اجرا رو پیدا کنه از ماکروی current استفاده میکنه که اون هم متد current_thread_info() رو کال میکنه. حالا با توجه به معماری یا ادرس این ساختمون داده روی یکی از رجیستر های cpu میزاره. یعنی دیگه نیازی نیست کل لیست رو بگردیم.
پیاده سازی این متد به معماری سخت افزار وابسته اس، برای مثال توی ماشین های power pc IBM رو اجرا میکنند کرنل این اطلاعات رو توی رجیستر r2 نگهداری میکنه و از طریق اسمبلی بهش دسترسی داره:
register struct task_struct *current asm ("r2");
7 854
Repost from Infosec Fortress
Zhang Yunhai - BYPASS CONTROL FLOW GUARD COMPREHENSIVELY - Blackhat
#binary
#exploitation
———
🆔 @Infosec_Fortress
7 854
One of the samples checks if the file “C:\users\public\a.txt” exists and if it doesn’t, it creates the file which it later deletes. The purpose of this code is not entirely clear and may be unfinished code inserted by the authors or borrowed from other places without fully understanding what the code does.https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/ 🤔
7 854
I created a simple Group Policy (GPO) to automatically fix CrowdStrike BSOD (Blue screen of death) issue.
Credit : Arda Büyükkaya
https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617
7 854
Global Windows outage hits computers around the world. This is linked to Crowdstrike update that cripples boot process.
Supposedly deleting “C-00000291*.sys” file in C:\Windows\System32\drivers\CrowdStrike directory fixes the issue. But editing system files you always do on your own risk :)Credit: Lukasz Olejnik #CrowdStrike
