CodeGuard: CyberSec Edition

🔍 Ghidra — когда бинарник говорит правду Имя файла, иконка и описание могут врать. Бинарник — нет. Ghidra позволяет разобрать исполняемый файл и понять, что он реально делает. ⚙️ Ключевые возможности

🟢 Декомпиляция в читаемый псевдокод 🟢Анализ ELF / PE / Mach‑O 🟢 Автоматизация и скрипты 🟢Кроссплатформенность 🟢 Open Source от NSA

🧠 Зачем она нужна

➡️ Реверс-инжиниринг и аудит безопасности ➡️Анализ вредоносного ПО ➡️ Изучение low‑level логики ➡️ Обучение и практика ➡️ Бесплатная альтернатива IDA Pro

🧪 Использование из терминала Запуск Ghidra:

./ghidraRun

Анализ бинарника в headless‑режиме (без GUI):

./analyzeHeadless ~/ghidra_projects test_project \
  -import ./binary \
  -analysisTimeoutPerFile 60

Запуск анализа с авто‑декомпиляцией:

./analyzeHeadless ~/ghidra_projects test_project \
  -import ./binary \
  -postScript DecompileAllFunctions.java

Удаление проекта:

rm -rf ~/ghidra_projects/test_project

🔗 Исходники 😈 CodeGuard: PySec Edition | Чат

🖥 CodeGuard: Academy

🖥 CodeGuard: Academy

🔐Threat, Vulnerability, Risk — как не путаться в терминах ИБ В инфобезе эти слова звучат постоянно, но их часто используют как синонимы. Из-за этого начинаются странные разговоры в стиле «у нас риск в коде» или «давай закроем угрозу патчем». Разложим по полочкам. 🔥 Threat (Угроза) Угроза — это потенциальный источник вреда. То, что может навредить системе, данным или бизнесу. Примеры:

🔹 Хакер или инсайдер 🔹 Вредоносное ПО 🔹 Фишинг 🔹 Ошибка администратора 🔹 Пожар, отключение электричества

Угроза сама по себе ещё ничего не ломает — она лишь существует. 🔸 Vulnerability (Уязвимость) Уязвимость — это слабое место, через которое угроза может реализоваться. Примеры:

🔹 Необновлённый софт 🔹 Пароль admin123 🔹 Открытый S3-бакет 🔹 Отсутствие MFA 🔹 Лишние права у пользователя

Уязвимость без угрозы — просто дефект. Угроза без уязвимости — почти бесполезна. ⚠️ Risk (Риск) Риск — это вероятность + ущерб, если угроза использует уязвимость. Примеры:

🔹 Утечка ПДн клиентов 🔹 Простой сервиса 🔹 Штрафы и репутационные потери 🔹 Потеря интеллектуальной собственности

В ИБ борются не с угрозами, а с рисками. 🧠 Как это связано?

🔴 Угроза — кто или что может атаковать 🔵 Уязвимость — через что могут атаковать ⏺ Риск — что будет, если это случится

Если по-простому:

➡️ Патч закрывает уязвимость ➡️ Антивирус снижает влияние угрозы ➡️ Бизнес решает, какой риск допустим

😈 CodeGuard: PySec Edition | Чат

MACHINE LEARNING - экспертный канал, который держит тебя в актуальном AI-стеке. Ключевая ценность - структура и наглядность: сложные концепции объясняют через схемы и короткие видео, чтобы ты не просто “прочитал”, а реально понял и мог применить. Если хочешь больше - здесь полезные ресурсы для МЛ-специалиста: книги, вакансии, вопросы с собесов, мастер-классы. Канал как бесплатный мини-курс по ИИ, который обновляется каждый день - t.me/ai_machinelearning_big_data

— CodeGuard: Linux — CodeGuard: Academy — CodeGuard: OSINT [new] — CodeGuard: Python — CodeGuard: SciencePop — CodeGuard: Vacancy IT Проверка, ты этого не видел

👁 osquery — SQL-допрос твоей системы osquery — это не антивирус и не сканер. Это фреймворк, который превращает ОС в базу данных, где процессы, пользователи, сокеты и крон-задачи — обычные таблицы. Хочешь знать, что реально происходит в системе? Просто спроси SQL-запросом. Идеален, если:

🟢 нужен контроль и видимость, а не разовый чек 🟢 важно ловить аномалии, а не только известные сигнатуры 🟢 сервер/хост живёт долго и меняется со временем 🟢 хочется гибкую основу под security-мониторинг

⚙️ Ключевые возможности osquery:

🔵 Доступ к процессам, файлам, сокетам, пользователям через SQL 🔵 Поиск подозрительных бинарей, автозапусков, cron-задач 🔵 Мониторинг сетевых соединений и открытых портов 🔵 Scheduled queries + логирование изменений 🔵 Интеграция с SIEM, Elastic, Fleet, Loki и др.

⚡️ Примеры реальных запросов:

-- Все процессы, слушающие сеть
SELECT pid, name, local_port FROM listening_ports;

-- Подозрительные cron-задачи
SELECT * FROM crontab WHERE command NOT LIKE '%/usr%';

-- Новые бинарники в /tmp
SELECT * FROM file WHERE path LIKE '/tmp/%';

📌 Что реально помогает найти:

🟢 скрытые persistence-механизмы 🟢 нелегитимные сетевые соединения 🟢 странные cron / systemd-юниты 🟢 появление новых пользователей и ключей 🟢 медленные, «тихие» компрометации

Где osquery раскрывается:

🔴 Прод-сервера и VPS 🔴 Хосты с долгим аптаймом 🔴 SOC / blue team / IR 🔴 В связке с rkhunter, AIDE, Wazuh 🔴 Как основа для кастомного security-мониторинга

😈 CodeGuard: PySec Edition | Чат

Программисты, это вам 👇 Держите 5 каналов, которые реально помогают изучать программирование и IT с полного нуля: 🖥 Easy Coder — все направления IT. 👩‍💻 Easy Python — всё о Python. 🌐 Easy WebDev — Frontend, Backend. 🔠 Easy InfoSec — ИБ, Хакинг. 🖥 Easy GitHub — лучшее с GitHub. Тонны бесплатной инфы для любого уровня подготовки ✔️

🔎 rkhunter — параноик, который не спит на твоём сервере rkhunter (Rootkit Hunter) — классический инструмент для Linux/Unix, предназначенный для обнаружения руткитов, бэкдоров и подозрительных конфигураций. В отличие от «быстрых» сканеров, копает глубже и умеет работать как регулярный сторож системы. Идеален, если:

🟢 нужен более тщательный аудит, чем «разок проверить» 🟢 важно отслеживать изменения системы со временем 🟢 сервер живёт долго и не должен удивлять сюрпризами 🟢 хочется early-warning, а не post-mortem

⚙️ Ключевые возможности rkhunter:

🔵 Поиск известных руткитов, бэкдоров и локальных эксплойтов 🔵 Проверка системных бинарников по хешам 🔵 Анализ прав доступа и опасных конфигураций 🔵 Детект скрытых файлов, процессов и сетевых аномалий 🔵 Логи + режим регулярного cron-сканирования

⚡️ Быстрый старт с rkhunter: Установка:

sudo apt install rkhunter        # Debian/Ubuntu
sudo dnf install rkhunter        # RHEL/CentOS

Обновление сигнатур:

sudo rkhunter --update

Первичное сканирование:

sudo rkhunter --check

📌 Что реально находит:

🟢 подмену системных утилит (ls, ps, netstat и др.) 🟢 подозрительные права на важные файлы 🟢 следы популярных руткитов и бэкдоров 🟢 небезопасные настройки SSH, cron, sysctl 🟢 аномалии, появившиеся после взлома

Где использовать rkhunter:

🔴 Долгоживущие прод‑серверы 🔴 VPS с публичным доступом 🔴 Регулярный security‑мониторинг через cron 🔴 В связке с Chkrootkit, Lynis, AIDE 🔴 Как система раннего оповещения, а не «после пожара»

😈 CodeGuard: PySec Edition | Чат

🔎 Chkrootkit — охотник за руткитами на твоей системе Chkrootkit — лёгкий, но мощный сканер для Linux/Unix, который ищет следы руткитов, троянов и локальных эксплойтов. Быстро проверяет систему и сигнализирует о подозрительных файлах и процессах. Идеален, если:

🟢 нужно быстро проверить сервер без установки агентов 🟢 важен простой аудит безопасности 🟢 хочется понять, не скрываются ли в системе угрозы

⚙️ Ключевые возможности Chkrootkit:

🔵 Проверка известных руткитов и троянов 🔵 Сканирование системных процессов и модулей ядра 🔵 Поиск подозрительных бэкендов inetd, sshd, cron 🔵 Проверка ключевых бинарников на модификации 🔵 Лёгкий, работает без сети и демонов

⚡️ Быстрый старт с Chkrootkit: Установка:

sudo apt install chkrootkit        # Debian/Ubuntu  
sudo dnf install chkrootkit        # RHEL/CentOS  

Запуск сканирования:

sudo chkrootkit

📌 Что реально находит:

🟢 скрытые процессы и демоны 🟢 подменённые системные бинарники 🟢 следы популярных руткитов 🟢 подозрительные сетевые подключения 🟢 эксплойты локальных сервисов

Где использовать Chkrootkit:

🔴 Быстрый security-чек на прод-серверах 🔴 Регулярные проверки VPS и домашних серверов 🔴 В связке с Lynis, AIDE или auditd 🔴 Как baseline перед детальным pentest’ом

😈 CodeGuard: PySec Edition | Чат

🔬Dogbolt - декомпилятор на стероидах Закинул бинарник - получил сравнение результатов от 11 декомпиляторов сразу. Ghidra, IDA, Binary Ninja, Hex-Rays, RetDec и другие - все работают параллельно, результаты рядом. Что внутри:

🔵Поддержка ELF, PE, Mach-O 🔵x86, x64, ARM, MIPS 11 движков декомпиляции одновременно 🔵Сравнение выхода side-by-side 🔵Шаринг результатов по ссылке 🔵Бесплатно, без регистрации

💡Почему стоит в закладки:

🔴Один декомпилятор выдал мусор - другой справился 🔴Не нужно ставить тяжёлые тулзы локально 🔴Быстрый анализ CTF-тасков 🔴Видишь как разные инструменты интерпретируют один код 🔴Учишься понимать, какой декомпилятор лучше для чего

Типичный юзкейс: Скачал подозрительный .exe или получил бинарь на CTF. Закинул в Dogbolt - через минуту читаешь псевдо-C код из 11 источников. Ghidra показал undefined4? Binary Ninja уже распознал структуру. Незаменим для reverse engineering, malware analysis и когда IDA тупит. ⭐️Сервис 😈 CodeGuard: PySec Edition | Чат

👨‍💻 Этот канал экономит разработчикам время VibeCode - место для тех, кто пишет код и хочет делать это эффективнее⚡️ В VibeCode HUB ты найдёшь: • практические советы • примеры программирования • полезный софт для разработки • актуальные новости из мира IT 📎 А если ты хочешь стать программистом - в ближайшее время также запускаем обучающие каналы по Web, Python, C++ и Кибербезопасности. Подписывайся и оптимизируй не только код, но и своё время👇 https://t.me/vibecode_hub

🛡 Lynis — хардкорный аудит безопасности без лишней магии Lynis — это автономный security-аудитор для Linux/Unix, который сканирует систему и говорит прямо, где у тебя дыры, слабые места и что можно усилить уже сейчас. Идеален, если:

🟢 нужен быстрый security-чек без агентов 🟢 важно понять реальный уровень hardening 🟢 система уже в проде и ломать ничего нельзя

⚙️ Ключевые возможности Lynis:

🔵 Глубокий аудит конфигурации ОС 🔵 Проверка прав, сервисов, kernel-настроек 🔵 Анализ SSH, PAM, cron, logging, firewall 🔵 Security score + конкретные рекомендации 🔵 Работает локально, без демонов и сети

⚡️ Быстрый старт с Lynis: Установка:

sudo apt install lynis        # Debian/Ubuntu
sudo dnf install lynis        # RHEL/CentOS

Запуск аудита:

sudo lynis audit system

Отчёты:

/var/log/lynis.log
/var/log/lynis-report.dat

📌 Что реально находит:

🟢 слабые SSH-настройки 🟢 небезопасные kernel-параметры 🟢 лишние сервисы и демоны 🟢 проблемы с правами и логированием 🟢 плохие практики hardening

Где использовать Lynis:

🔴 Быстрый аудит перед продом 🔴 Регулярные security-чеки серверов 🔴 Hardened-хосты и VPS 🔴 В связке с AIDE / auditd / SIEM 🔴 Как baseline перед pentest’ом

😈 CodeGuard: PySec Edition | Чат

⚡️ Volatility 3 — профессиональный анализ памяти для расследования инцидентов Volatility Framework — инструмент для анализа дампов оперативной памяти, используемый при расследовании киберинцидентов, анализе малвари и цифровой криминалистике. Позволяет извлекать артефакты из памяти работающей системы: процессы, сетевые соединения, загруженные модули, криптоключи и следы атак. ⚙️ Ключевые возможности Volatility 3: ▶️ Анализ памяти без установки на систему — работа с дампами RAM извне ▶️ Поддержка Windows/Linux/macOS — единый фреймворк для разных ОС ▶️ Извлечение паролей и ключей — дешифровка трафика, доступ к зашифрованным дискам ▶️ Обнаружение руткитов и инжектов — скрытые процессы, DKOM, hook'и ▶️ Восстановление сетевой активности — коннекты, сокеты, открытые порты ▶️ Автоматизация через Python API — интеграция в пайплайны расследований ⚡️ Быстрый старт с Volatility 3: Установка (Linux):

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
pip3 install -r requirements.txt

Базовые команды анализа Windows дампа:

# Определение профиля ОС
python3 vol.py -f memory.dmp windows.info

# Список процессов
python3 vol.py -f memory.dmp windows.pslist

# Поиск скрытых процессов (Direct Kernel Object Manipulation)
python3 vol.py -f memory.dmp windows.psscan

# Анализ сетевых соединений
python3 vol.py -f memory.dmp windows.netscan

# Дамп процесса для дальнейшего анализа
python3 vol.py -f memory.dmp windows.dumpfiles --pid 1234

🕵️‍♂️ Практические сценарии расследований: 1. Обнаружение файлового малвари (ransomware):

# Поиск процессов с подозрительными характеристиками
python3 vol.py -f ransom.dmp windows.malfind --pid 1337

# Анализ инжектированного кода
python3 vol.py -f ransom.dmp windows.vadinfo --pid 1337

# Дамп и анализ payload
python3 vol.py -f ransom.dmp windows.dumpfiles --pid 1337 --phys

2. Расследование атаки через PowerShell:

# Поиск следов PowerShell в памяти
python3 vol.py -f attack.dmp windows.cmdline | grep -i powershell

# Анализ .NET сборок в памяти
python3 vol.py -f attack.dmp windows.dlllist | findstr -i clr

# Извлечение скриптов из памяти процесса
python3 vol.py -f attack.dmp windows.memdump --pid 5678 --dump-dir ./output

3. Обнаружение rootkit'ов и скрытых драйверов:

# Список загруженных драйверов
python3 vol.py -f infected.dmp windows.modules

# Поиск скрытых драйверов
python3 vol.py -f infected.dmp windows.driverscan

# Анализ SSDT hooks (перехват системных вызовов)
python3 vol.py -f infected.dmp windows.ssdt

🔍 Расширенные техники: Анализ Linux систем:

# Просмотр загруженных модулей ядра
python3 vol.py -f linux_memory.dmp linux.check_modules

# Поиск скрытых TCP соединений
python3 vol.py -f linux_memory.dmp linux.netstat

# Анализ процессов в userland
python3 vol.py -f linux_memory.dmp linux.pslist

Работа с macOS:

# Анализ процессов Mac
python3 vol.py -f mac_memory.dmp mac.pslist

# Поиск инжектированных библиотек
python3 vol.py -f mac_memory.dmp mac.libraries

⚠️ Сложные случаи: 🔴 Анализ защищенных процессов — Protected Processes в Windows 🔴 Обход анти-форензик техник — малвари, специально затирающие следы в памяти 🔴 Анализ виртуальных машин — дампы памяти из VMware/Hyper-V 🔴 Работа с поврежденными дампами — восстановление структур данных 📌 Когда использовать Volatility: 🔴 Инцидент-респонс — быстрое понимание масштаба компрометации 🔴 Расследование APT-атак — поиск продвинутых техник уклонения 🔴 Анализ малвари — изучение поведения в памяти 🔴 Цифровая криминалистика — сбор доказательств 🔴 Red Team — проверка устойчивости к анализу памяти 😈 CodeGuard: PySec Edition | Чат

Твоими данными торгуют как апельсинами на базаре Более того, зная твой аккаунт в любой соцсети, можно составить на тебя полное досье: — адрес проживания; — номер телефона; — место работы; — даже любимую доставку еды. Этими возможностями пользуются все, кому не лень — мошенники, спамеры, люди в погонах. Но ты можешь положить этому конец. Автор «TechLab» в своём блоге показывает как удалить себя из всех слитых баз, следить за цифровой гигиеной и не стать жертвой мошенников. Сохраняйте, одна подписка сбережёт вам нервы, время и деньги — @TechLab

🧠 AIDE: контроль целостности, когда нужен хардкор без агентов AIDE (Advanced Intrusion Detection Environment) — минималистичный HIDS, который делает одну вещь очень хорошо: следит за тем, что и где изменилось в системе. Идеален, если:

🟢Wazuh/OSSEC избыточны 🟢нужен строгий контроль /etc, /bin, /usr, /sbin 🟢важна простота и предсказуемость

⚙️ Ключевые возможности AIDE:

🔵 File Integrity Monitoring на стероидах (hash, inode, perms, owner, mtime) 🔵 Гибкие правила — можно сказать что и как проверять 🔵 Криптографические хэши: SHA256 / SHA512 🔵 Никакой сети — работает локально 🔵 Отлично дружит с cron и bash-скриптами

⚡️ Быстрый старт с AIDE: Установка:

sudo apt install aide   # Debian/Ubuntu
sudo dnf install aide   # RHEL/CentOS

Инициализация базы:

sudo aideinit
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Проверка системы:

sudo aide --check

Автопроверка через cron:

sudo crontab -e
0 3 * * * /usr/bin/aide --check | mail -s "AIDE report" root

📌 Что реально детектит:

🟢подмену бинарников 🟢правки конфигов 🟢подозрительные изменения прав 🟢следы руткитов (на базовом уровне)

Где использовать AIDE:

🔴 Критичные сервера без выхода в интернет 🔴 Hardened-хосты и bastion-ноды 🔴 Как last line of defense после компрометации 🔴 В связке с auditd / fail2ban / SIEM (как источник фактов)

😈 CodeGuard: PySec Edition | Чат

OSSEC: лёгкий HIDS, если Wazuh слишком жирный ⌨️ OSSEC — это классический open-source HIDS, который стоит прямо на хосте, мониторит логи, файлы и реакции на инциденты. ​ Подходит, когда Elastic+Wazuh — оверкил, а тебе нужно просто видеть попытки взлома и критичные изменения в системе. ⚙️ Ключевые возможности OSSEC:

🔵Анализ логов системных сервисов, SSH, sudo, веб-серверов ​ 🔵File Integrity Monitoring для отслеживания изменений конфигов и бинарников​ 🔵Реакции на события: алерты, запуск скриптов, блокировки IP через firewall​ 🔵Поддержка множества ОС: Linux, *BSD, Windows, контейнеры и облако через агенты​ 🔵Интеграция с SIEM и внешними системами корреляции событий

⚡️Быстрый старт с OSSEC (агент + сервер): Установка сервера (Linux):

curl -O https://updates.atomicorp.com/channels/ossec/ossec-hids.tar.gz
tar -xzf ossec-hids.tar.gz
cd ossec-hids
sudo ./install.sh

Проверка статуса:

sudo /var/ossec/bin/ossec-control status

Подключение агента (на хосте):

curl -O https://updates.atomicorp.com/channels/ossec/ossec-hids-agent.tar.gz
tar -xzf ossec-hids-agent.tar.gz
cd ossec-hids-agent
sudo ./install.sh
/var/ossec/bin/manage_agents     # добавить агент на сервере
/var/ossec/bin/agent-auth -m <IP_OSSEC_SERVER>

Где использовать OSSEC:

🔴Малые и средние инфраструктуры без тяжёлого SIEM ​ 🔴Мониторинг критичных серверов (SSH, sudo, изменения конфигов)​ 🔴Как источник событий для уже существующего SIEM/лог-стека

😈 CodeGuard: PySec Edition | Чат

⚡️Hype Tech анонимно публикует промпты, ломающие ИИ-ограничения Генерируй 18+ изображения, создавай вирусы и упрости ЛЮБУЮ рутину — всё это бесплатно и в открытом доступе Топ-промты от Hype Tech: • Баг на бесконечный доступ в NanoBanana и ChatGPT • Промпты для снятия цензуры с ChatGPT • Полный пробив и поиск скрытых данных человека Подпишись и забери самые мощные ИИ для твоего арсенала: https://t.me/+xjSLfhZQOwMGQy

🛠 BloodHound — визуализация и анализ атак в Active Directory BloodHound — это инструмент для анализа безопасности Active Directory, который использует теорию графов, чтобы показать реальные пути атак внутри домена Windows. Он не ищет уязвимости напрямую — он показывает, как именно можно дойти до Domain Admin, используя текущие права, доверия и конфигурации. ⚙️ Ключевые возможности BloodHound:

▶️ Сбор данных о пользователях, группах, компьютерах и правах ▶️ Визуализация отношений в виде графа ▶️ Поиск кратчайших путей к Domain Admin ▶️ Обнаружение misconfig’ов и чрезмерных прав ▶️ Используется red team и blue team

⚡️ Быстрый старт с BloodHound Сбор данных (SharpHound):

SharpHound.exe -c All

Анализ:

🟢Загружаешь результаты в BloodHound GUI 🟢Строишь граф 🟢Анализируешь пути эскалации

📌 Когда использовать BloodHound:

✔️ Аудит безопасности Active Directory ✔️ Red Team / Purple Team ✔️ Поиск путей lateral movement ✔️ Защита AD и hardening

📱 GitHub & docs: 😈 CodeGuard: PySec Edition | Чат