Хакер {Hacker}
Канал о кибербезопасности - Защита - Кодинг - Новости - Интервью - Безопасность в сети По всем вопросам @evgenycarter РКН clck.ru/3KoG7p
Show more📈 Analytical overview of Telegram channel Хакер {Hacker}
Channel Хакер {Hacker} (@thehaking) in the Russian language segment is an active participant. Currently, the community unites 13 351 subscribers, ranking 9 543 in the Technologies & Applications category and 49 500 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 13 351 subscribers.
According to the latest data from 30 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by -65 over the last 30 days and by 0 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 9.05%. Within the first 24 hours after publication, content typically collects 4.64% reactions from the total number of subscribers.
- Post reach: On average, each post receives 1 208 views. Within the first day, a publication typically gains 619 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 2.
- Thematic interests: Content is focused on key topics such as программист, linux, программирование, c++, ядро.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Канал о кибербезопасности
- Защита
- Кодинг
- Новости
- Интервью
- Безопасность в сети
По всем вопросам @evgenycarter
РКН clck.ru/3KoG7p”
Thanks to the high frequency of updates (latest data received on 01 July, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
SYSHUB (часть шины передачи данных) и принудительно выставить атрибут NoSnoop для всех обращений PSP к памяти. Из-за этого PSP начинает читать и писать данные напрямую в DRAM, игнорируя более актуальные данные, осевшие в кэшах x86.
Это создает «рассинхронизацию» (split memory view):
1. PSP читает из DRAM старые данные.
2. Данные, которые PSP записывает в DRAM, могут быть тихо перезаписаны при сбросе (вытеснении) кэша x86.
Используя этот баг, злонамеренный гипервизор может подделать Guest Context Page - защищенную структуру, в которой хранятся отчеты об аттестации и политики гостевой ОС. Это позволяет активировать режим отладки на боевой виртуальной машине и получить полный доступ на чтение и запись ко всей конфиденциальной памяти CVM. Защита SEV-SNP полностью падает.
💡 Главные факты об атаке:
• Тип: 100% программная (software-only) с вероятностью успеха 100%. Физический доступ к серверу не нужен.
• Уязвимое железо: Серверные процессоры AMD EPYC на архитектурах Zen 4 и Zen 5.
• Влияние на конкурентов: Intel TDX и Arm CCA атаке не подвержены, так как не используют выделенный сопроцессор вроде PSP в качестве корня доверия.
• Семейство XCA: Staleus относится к классу Interconnect Corruption Attacks (как и прошлые атаки Fabricked и BreakFAST), но использует принципиально новый вектор — не перенаправление трафика, а манипуляцию атрибутами кэша.
AMD уже признала проблему и выпустила соответствующий бюллетень безопасности.
🔗 Читать подробнее (Whitepaper & FAQ): https://xca-attacks.github.io/staleus/
📲 Мы в MAX
👉@thehakingVBAR_EL1, SPSR_EL1, ELR_EL1 и trap frame
• как Hyper-V работает с виртуальными прерываниями
• зачем нужен synthetic interrupt controller
• как Secure Kernel получает secure interrupts и intercepts
• какие WinDbg-команды полезны для анализа GIC: !gicc, !gicd, !gicr
Главная мысль: для исследователей Windows Internals переход на ARM64 требует сменить привычную модель мышления. Прерывания здесь тесно завязаны на exception levels, GIC, виртуализацию и VBS.
Материал особенно полезен тем, кто занимается реверсом, kernel debugging, exploit development и хочет понимать, как Windows реально живёт на ARM-платформах.
🔗 Статья:https://connormcgarr.github.io/windows-arm64-interrupts/
📲 Мы в MAX
👉@thehaking.text -секция слишком мала или payload не помещается в выбранную область, процесс быстро падает. А попытка насильно подгрузить “удобную” DLL может стать очень заметным событием для EDR.
Автор предлагает более аккуратный подход:
▪️ сначала профилировать целевой процесс и список его DLL;
▪️ затем искать модули с подходящим размером .text-секции;
▪️ смотреть экспортируемые функции;
▪️ заранее оценивать “blast radius” — какие соседние функции будут повреждены;
▪️ выбирать вариант, который минимизирует риск краша и лишнего шума.
Интересно здесь не столько само «стомпание» модулей, сколько инженерный подход: вместо универсального трюка — анализ конкретного процесса, структуры PE-файла и поведения памяти.
Для защитников это хороший повод мониторить не только классические признаки инъекции, но и аномальные изменения в кодовых секциях уже загруженных DLL, подозрительные права на память и несоответствия между образом модуля на диске и в памяти.
https://medium.com/@toneillcodes/advanced-evasion-tradecraft-precision-module-stomping-b51feb0978fe
📲 Мы в MAX
👉@thehaking🚫 Блокировки лишь отдалили Россию от «цифрового суверенитета». 🖥 Специалисты, которые могли бы создать в России операционную систему для смартфонов, в условиях сломанного интернета массово покидают страну. 📱 А без такой системы все приложения на смартфонах — «национальные» или «иностранные» — остаются уязвимыми для точечной слежки и цензуры со стороны США через бэкдоры и магазины приложений iOS и Android. 🎭 Замена «иностранных» приложений на «национальные» при сохранении американских ОС — смена упаковки без смены сути. Потёмкинские деревни с привкусом коррупции. 🏅 Российский чиновник, который сломал интернет и отбросил страну на десятилетия назад под предлогом «цифрового суверенитета», заслуживает медаль национальной безопасности — от США 🇺🇸📲 Мы в MAX 👉@thehaking
.exe, внутри которых лежат .fl1/.fl2/.cap, ACPI, микрокоды, EC firmware, changelog с CVE и другие полезные артефакты. Эти данные публичны, но обычно их используют руками и точечно. Здесь же строится масштабируемый toolchain: «дай модель и версию BIOS → получи машинно-читаемое описание платы».
Что особенно интересно:
• ACPI → GPIO
На AMD/Qualcomm пины часто лежат прямо в DSDT, а на Intel всё сложнее: DSDT ссылается на GNVS-поля, AcpiPlatform записывает туда GPIO_PAD, а PADCFG описывает режим, направление и lock-состояние пина. Автор собирает эти три источника в одну картину.
• Security angle
Пайплайн умеет искать потенциально опасные GPIO: например, SMI-routable input без lock, а также software-controlled privacy GPIO — камера, микрофон, fingerprint, TPM presence. Важный вывод: если privacy-индикатор управляется софтом, софт потенциально может врать пользователю.
• Embedded Controller
Отдельный слой — EC на ITE 8051, который живёт своей жизнью: батарея, вентилятор, hotkeys, lid switch, keyboard backlight, firmware update flows. Автор сделал SFR-aware дизассемблер, чтобы хост-интерфейс и GPIO-порты EC можно было находить grep’ом, а не неделями ручного RE.
• coreboot/OpenCore
Из OEM BIOS можно автоматически получить много механической базы для coreboot: devicetree.cb, gpio.h, microcode, VBT, flash layout. Но есть честные ограничения: FSP часто интегрирован в PEI-flow, а SPD для soldered RAM в образе обычно не лежит.
• Практический масштаб
Это не «разбор одного ноутбука ради красоты», а попытка сделать coverage-driven pipeline для целого архива ThinkPad BIOS. Сейчас заявлены 12/12 успешных извлечений на diverse sample и 9/9 на BIOS-payload classification.
Очень рекомендую прочитать, если вам близки coreboot, UEFI, ACPI, SMM, GPIO security или просто хочется понять, сколько всего можно вытащить из «обычного» BIOS-апдейта для ThinkPad.
https://tetdrad0n.codeberg.page/thinkpad-fw-analysis/
📲 Мы в MAX
👉@thehaking
Available now! Telegram Research 2025 — the year's key insights 
