en
Feedback
Order of Six Angles

Order of Six Angles

Open in Telegram
4 829
Subscribers
-224 hours
+127 days
+9330 days
Attracting Subscribers
July '26
July '26
+1
in 0 channels
June '26
+139
in 2 channels
Get PRO
May '26
+193
in 5 channels
Get PRO
April '26
+171
in 3 channels
Get PRO
March '26
+160
in 6 channels
Get PRO
February '26
+89
in 1 channels
Get PRO
January '26
+116
in 2 channels
Get PRO
December '25
+52
in 2 channels
Get PRO
November '25
+122
in 1 channels
Get PRO
October '25
+73
in 2 channels
Get PRO
September '25
+50
in 0 channels
Get PRO
August '25
+75
in 0 channels
Get PRO
July '25
+127
in 2 channels
Get PRO
June '25
+113
in 4 channels
Get PRO
May '25
+91
in 2 channels
Get PRO
April '25
+206
in 6 channels
Get PRO
March '25
+94
in 2 channels
Get PRO
February '25
+62
in 5 channels
Get PRO
January '25
+77
in 4 channels
Get PRO
December '24
+91
in 2 channels
Get PRO
November '24
+264
in 1 channels
Get PRO
October '24
+251
in 2 channels
Get PRO
September '24
+196
in 7 channels
Get PRO
August '24
+156
in 5 channels
Get PRO
July '24
+136
in 3 channels
Get PRO
June '24
+215
in 4 channels
Get PRO
May '24
+162
in 2 channels
Get PRO
April '240
in 0 channels
Get PRO
March '240
in 2 channels
Get PRO
February '240
in 2 channels
Get PRO
January '240
in 2 channels
Get PRO
December '230
in 3 channels
Get PRO
November '230
in 1 channels
Get PRO
October '230
in 1 channels
Get PRO
September '230
in 0 channels
Get PRO
August '230
in 0 channels
Get PRO
July '230
in 0 channels
Get PRO
June '230
in 0 channels
Get PRO
May '230
in 0 channels
Get PRO
April '230
in 0 channels
Get PRO
March '230
in 0 channels
Get PRO
February '230
in 0 channels
Get PRO
January '23
+51
in 0 channels
Get PRO
December '22
+30
in 0 channels
Get PRO
November '22
+19
in 0 channels
Get PRO
October '22
+17
in 0 channels
Get PRO
September '22
+30
in 0 channels
Get PRO
August '22
+18
in 0 channels
Get PRO
July '22
+29
in 0 channels
Get PRO
June '22
+25
in 0 channels
Get PRO
May '22
+20
in 0 channels
Get PRO
April '22
+33
in 0 channels
Get PRO
March '22
+24
in 0 channels
Get PRO
February '22
+29
in 0 channels
Get PRO
January '22
+96
in 0 channels
Get PRO
December '21
+61
in 0 channels
Get PRO
November '21
+119
in 0 channels
Get PRO
October '21
+58
in 0 channels
Get PRO
September '21
+114
in 0 channels
Get PRO
August '21
+166
in 0 channels
Get PRO
July '21
+236
in 0 channels
Get PRO
June '21
+334
in 0 channels
Get PRO
May '21
+121
in 0 channels
Get PRO
April '21
+104
in 0 channels
Get PRO
March '21
+133
in 0 channels
Get PRO
February '21
+46
in 0 channels
Get PRO
January '21
+161
in 0 channels
Get PRO
December '20
+1 940
in 0 channels
Date
Subscriber Growth
Mentions
Channels
01 July+1
Channel Posts
Мой урожай
Мой урожай

2
Короче, идея с анализом малвари под QEMU TCG провалилась. Этот режим крайне медленный, даже если отключить мониторинг памяти и оставить только сисколы. Вернулся к KVM режиму. Ускорить, оптимизировать, давать больше времени вообще не помогает.
281
3
Сегодня каналу исполнилось 7 лет 🍾
435
4
с помощью qemu tcg можно также исследовать UEFI малварь, незнаю дойдут ли у меня до туда руки, так как щас чисто под юзерспейс малварь разрабатываю. Ну посмотрим
603
5
Вместо приватных репозиториев на гитхабе я стал использовать Forgejo - это селф хостед локальный репозиторий
699
6
В результате запуска одного сэмпла малвари, qemu tcg виртуалка генерит около 550 Мегабайт текста, и это еще сильно обрезанная версия. Приходится выставлять лимиты, иначе легко можно несколько гигабайт на один ран потратить. Эти гигабайты надо еще выкачать с виртуалки на хост, передать мне по локальной сети. Для полноценных больших ресерчей один прогон будет генерить десятки гигабайт данных.
699
7
Внутри винды, которая запущена под qemu tcg мы не ставим Procmon, Sysmon, дебаггеры и прочие анализирующие тулзы. Винда остается максимально чистой, а все наблюдение происходит снаружи, через QEMU TCG и офлайн-парсинг логов. Qemu Guest Agent тоже удаляется. QEMU TCG пишет не красивый отчет, а низкоуровневый поток событий: выполненные блоки кода, syscall-события, обращения к памяти. На этом уровне в логе есть шум всей виртуальной машины: ядро Windows, службы, cmd/launcher, conhost, дочерние процессы и сам sample. В этом шуме мы должны найти образ/процесс целевой малвари и выделить конкретно ее действия. Сделать это можно по комбинации сисколов и определенных действий. Главная сложность — отделить поведение образца от шума операционной системы и превратить поток низкоуровневых событий QEMU TCG в понятную картину: какие файлы трогал sample, куда писал, какие ключи реестра менял, пытался ли инжектиться в другие процессы и оставлял ли следы закрепления. Как это реально работает: 1. QEMU-плагин пишет сырой syscall-поток: PID, TID, CR3, image, syscall number, RIP, аргументы регистров и часть stack-аргументов. 2. Скрипт парсит ntdll.dll из гостевой Windows и строит карту: 0x55 -> NtCreateFile 0x3A -> NtWriteFile 0x18 -> NtOpenKey ... То есть syscall number превращается в человеческое имя: NtCreateFile, NtWriteVirtualMemory, NtSetValueKey. 3. Затем события фильтруются до PID/image целевого sample 4. После этого идут правила. Сисколы: NtCreateFile / NtOpenFile / NtReadFile / NtWriteFile попадают в file activity. А NtCreateKey / NtOpenKey / NtSetValueKey / NtDeleteValueKey попадают в registry activity. Да, для анализа обычной малвари это оверхэд. Но зато такой стеап может быть полезен и для анализа эксплоитов, особенно ядерных, так как можно видеть всю работу в ядре.
787
8
Есть проект https://panda.re/, который реализует точно такую же идею, что и я пописал. Я его пробовал использовать, но он очень нестабилен, еле как работает, больше трети функций вообще не работают, местами там куски дерьма мамонта. Вообще не юзабельное. Поэтому свой велосипед оказывается лучше и притом работает с виртуалкой Вин10 (панда только с вин 7).
750
9
Решил исследовать тему исследования малвари путем запуска через QEMU TCG, в полностью headless-режиме. QEMU TCG — это режим QEMU без аппаратной виртуализации, где гостевые инструкции не выполняются напрямую на CPU, а переводятся и исполняются самим QEMU через Tiny Code Generator. Tiny Code Generator берет блоки инструкций гостевой архитектуры, переводит их во внутреннее представление, а затем генерирует исполняемый код для CPU хоста. Эти переведенные блоки кэшируются и переиспользуются, поэтому QEMU не интерпретирует каждую инструкцию заново, а выполняет динамическую бинарную трансляцию. Стек получился такой: Proxmox VE -> Debian VM -> QEMU -> Windows 10 guest -> malware sample На железе стоит Proxmox VE. Внутри него поднял минимальную Debian VM, а уже внутри Debian запускается QEMU с Windows 10. То есть Windows с малварью живет не напрямую в Proxmox, а внутри nested QEMU. Параметры Debian VM: - Debian GNU/Linux 13 trixie - 8 vCPU - ~8 GB RAM Режим TCG медленнее, зато QEMU сам транслирует guest-инструкции и может логировать выполнение на уровне блоков, инструкций и CPU state. QEMU запускался примерно так: qemu-system-x86_64 \ -accel tcg,thread=multi \ -cpu max \ -smp 8 \ -m 4096 \ -display none \ -nic none \ -drive file=win10-run.qcow2,format=qcow2,if=ide \ -serial file:serial.log \ -D qemu-tcg.log \ -d guest_errors Перед запуском создается snapshot/overlay, внутрь Windows копируется sample, затем Windows стартует в TCG. Один реальный прогон малвари занял примерно 5 минут. За 60 секунд полной трассировки получилось около 2.1 GB лога. Лог содержит сырые инструкции, который выполнялись на "процессоре": IN: 0xfffff80577ca06a1: 48 8b c7 movq %rdi, %rax 0xfffff80577ca06a4: eb ac jmp 0xfffff80577ca0652 Trace 6: RAX=0000000000000000 RBX=ffffe509e52773f8 RIP=fffff80577ca06a1 RFL=00040246 CR3=000000012dd3f000 Мы также видим весь kernel space, любой код который там выполнялся, все системколлы, полный доступ к памяти винды, что дает очень много инфы о запускаемой программы. Далее я хочу чекнуть как с 2 гигабайтным логом справится локальная ллм типа геммы
850
10
В итоге была найдена только 1 уязвимость out of bounds read (cwe 126), зарепортил, уровень medium 5.5, посмотрим че ответя. Таргет был Windows driver ПО Krisp https://hackerone.com/krisp?type=team
824
11
No text...
885
12
Добавили MCP
943
13
https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает
1 082
14
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
1 092
15
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей на
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели
1 236
16
CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL) https://github.com/0xABCD01/CVE-2026-41089
1 230
17
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в не
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье: https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
1 239
18
Надо чекнуть Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows. https://github.com/kernelstub/NTForge
1 171
19
No text...
1 238
20
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет
1 293