fa
Feedback
Order of Six Angles

Order of Six Angles

رفتن به کانال در Telegram
4 829
مشترکین
-224 ساعت
+127 روز
+9330 روز

در حال بارگیری داده...

جذب مشترکین
ژوئیه '26
ژوئیه '26
+1
در 0 کانال‌ها
ژوئن '26
+139
در 2 کانال‌ها
Get PRO
مه '26
+193
در 5 کانال‌ها
Get PRO
آوریل '26
+171
در 3 کانال‌ها
Get PRO
مارس '26
+160
در 6 کانال‌ها
Get PRO
فوریه '26
+89
در 1 کانال‌ها
Get PRO
ژانویه '26
+116
در 2 کانال‌ها
Get PRO
دسامبر '25
+52
در 2 کانال‌ها
Get PRO
نوامبر '25
+122
در 1 کانال‌ها
Get PRO
اکتبر '25
+73
در 2 کانال‌ها
Get PRO
سپتامبر '25
+50
در 0 کانال‌ها
Get PRO
اوت '25
+75
در 0 کانال‌ها
Get PRO
ژوئیه '25
+127
در 2 کانال‌ها
Get PRO
ژوئن '25
+113
در 4 کانال‌ها
Get PRO
مه '25
+91
در 2 کانال‌ها
Get PRO
آوریل '25
+206
در 6 کانال‌ها
Get PRO
مارس '25
+94
در 2 کانال‌ها
Get PRO
فوریه '25
+62
در 5 کانال‌ها
Get PRO
ژانویه '25
+77
در 4 کانال‌ها
Get PRO
دسامبر '24
+91
در 2 کانال‌ها
Get PRO
نوامبر '24
+264
در 1 کانال‌ها
Get PRO
اکتبر '24
+251
در 2 کانال‌ها
Get PRO
سپتامبر '24
+196
در 7 کانال‌ها
Get PRO
اوت '24
+156
در 5 کانال‌ها
Get PRO
ژوئیه '24
+136
در 3 کانال‌ها
Get PRO
ژوئن '24
+215
در 4 کانال‌ها
Get PRO
مه '24
+162
در 2 کانال‌ها
Get PRO
آوریل '240
در 0 کانال‌ها
Get PRO
مارس '240
در 2 کانال‌ها
Get PRO
فوریه '240
در 2 کانال‌ها
Get PRO
ژانویه '240
در 2 کانال‌ها
Get PRO
دسامبر '230
در 3 کانال‌ها
Get PRO
نوامبر '230
در 1 کانال‌ها
Get PRO
اکتبر '230
در 1 کانال‌ها
Get PRO
سپتامبر '230
در 0 کانال‌ها
Get PRO
اوت '230
در 0 کانال‌ها
Get PRO
ژوئیه '230
در 0 کانال‌ها
Get PRO
ژوئن '230
در 0 کانال‌ها
Get PRO
مه '230
در 0 کانال‌ها
Get PRO
آوریل '230
در 0 کانال‌ها
Get PRO
مارس '230
در 0 کانال‌ها
Get PRO
فوریه '230
در 0 کانال‌ها
Get PRO
ژانویه '23
+51
در 0 کانال‌ها
Get PRO
دسامبر '22
+30
در 0 کانال‌ها
Get PRO
نوامبر '22
+19
در 0 کانال‌ها
Get PRO
اکتبر '22
+17
در 0 کانال‌ها
Get PRO
سپتامبر '22
+30
در 0 کانال‌ها
Get PRO
اوت '22
+18
در 0 کانال‌ها
Get PRO
ژوئیه '22
+29
در 0 کانال‌ها
Get PRO
ژوئن '22
+25
در 0 کانال‌ها
Get PRO
مه '22
+20
در 0 کانال‌ها
Get PRO
آوریل '22
+33
در 0 کانال‌ها
Get PRO
مارس '22
+24
در 0 کانال‌ها
Get PRO
فوریه '22
+29
در 0 کانال‌ها
Get PRO
ژانویه '22
+96
در 0 کانال‌ها
Get PRO
دسامبر '21
+61
در 0 کانال‌ها
Get PRO
نوامبر '21
+119
در 0 کانال‌ها
Get PRO
اکتبر '21
+58
در 0 کانال‌ها
Get PRO
سپتامبر '21
+114
در 0 کانال‌ها
Get PRO
اوت '21
+166
در 0 کانال‌ها
Get PRO
ژوئیه '21
+236
در 0 کانال‌ها
Get PRO
ژوئن '21
+334
در 0 کانال‌ها
Get PRO
مه '21
+121
در 0 کانال‌ها
Get PRO
آوریل '21
+104
در 0 کانال‌ها
Get PRO
مارس '21
+133
در 0 کانال‌ها
Get PRO
فوریه '21
+46
در 0 کانال‌ها
Get PRO
ژانویه '21
+161
در 0 کانال‌ها
Get PRO
دسامبر '20
+1 940
در 0 کانال‌ها
تاریخ
رشد مشترکین
اشارات
کانال‌ها
01 ژوئیه+1
پست‌های کانال
Мой урожай
Мой урожай

2
Короче, идея с анализом малвари под QEMU TCG провалилась. Этот режим крайне медленный, даже если отключить мониторинг памяти и оставить только сисколы. Вернулся к KVM режиму. Ускорить, оптимизировать, давать больше времени вообще не помогает.
281
3
Сегодня каналу исполнилось 7 лет 🍾
435
4
с помощью qemu tcg можно также исследовать UEFI малварь, незнаю дойдут ли у меня до туда руки, так как щас чисто под юзерспейс малварь разрабатываю. Ну посмотрим
603
5
Вместо приватных репозиториев на гитхабе я стал использовать Forgejo - это селф хостед локальный репозиторий
699
6
В результате запуска одного сэмпла малвари, qemu tcg виртуалка генерит около 550 Мегабайт текста, и это еще сильно обрезанная версия. Приходится выставлять лимиты, иначе легко можно несколько гигабайт на один ран потратить. Эти гигабайты надо еще выкачать с виртуалки на хост, передать мне по локальной сети. Для полноценных больших ресерчей один прогон будет генерить десятки гигабайт данных.
699
7
Внутри винды, которая запущена под qemu tcg мы не ставим Procmon, Sysmon, дебаггеры и прочие анализирующие тулзы. Винда остается максимально чистой, а все наблюдение происходит снаружи, через QEMU TCG и офлайн-парсинг логов. Qemu Guest Agent тоже удаляется. QEMU TCG пишет не красивый отчет, а низкоуровневый поток событий: выполненные блоки кода, syscall-события, обращения к памяти. На этом уровне в логе есть шум всей виртуальной машины: ядро Windows, службы, cmd/launcher, conhost, дочерние процессы и сам sample. В этом шуме мы должны найти образ/процесс целевой малвари и выделить конкретно ее действия. Сделать это можно по комбинации сисколов и определенных действий. Главная сложность — отделить поведение образца от шума операционной системы и превратить поток низкоуровневых событий QEMU TCG в понятную картину: какие файлы трогал sample, куда писал, какие ключи реестра менял, пытался ли инжектиться в другие процессы и оставлял ли следы закрепления. Как это реально работает: 1. QEMU-плагин пишет сырой syscall-поток: PID, TID, CR3, image, syscall number, RIP, аргументы регистров и часть stack-аргументов. 2. Скрипт парсит ntdll.dll из гостевой Windows и строит карту: 0x55 -> NtCreateFile 0x3A -> NtWriteFile 0x18 -> NtOpenKey ... То есть syscall number превращается в человеческое имя: NtCreateFile, NtWriteVirtualMemory, NtSetValueKey. 3. Затем события фильтруются до PID/image целевого sample 4. После этого идут правила. Сисколы: NtCreateFile / NtOpenFile / NtReadFile / NtWriteFile попадают в file activity. А NtCreateKey / NtOpenKey / NtSetValueKey / NtDeleteValueKey попадают в registry activity. Да, для анализа обычной малвари это оверхэд. Но зато такой стеап может быть полезен и для анализа эксплоитов, особенно ядерных, так как можно видеть всю работу в ядре.
787
8
Есть проект https://panda.re/, который реализует точно такую же идею, что и я пописал. Я его пробовал использовать, но он очень нестабилен, еле как работает, больше трети функций вообще не работают, местами там куски дерьма мамонта. Вообще не юзабельное. Поэтому свой велосипед оказывается лучше и притом работает с виртуалкой Вин10 (панда только с вин 7).
750
9
Решил исследовать тему исследования малвари путем запуска через QEMU TCG, в полностью headless-режиме. QEMU TCG — это режим QEMU без аппаратной виртуализации, где гостевые инструкции не выполняются напрямую на CPU, а переводятся и исполняются самим QEMU через Tiny Code Generator. Tiny Code Generator берет блоки инструкций гостевой архитектуры, переводит их во внутреннее представление, а затем генерирует исполняемый код для CPU хоста. Эти переведенные блоки кэшируются и переиспользуются, поэтому QEMU не интерпретирует каждую инструкцию заново, а выполняет динамическую бинарную трансляцию. Стек получился такой: Proxmox VE -> Debian VM -> QEMU -> Windows 10 guest -> malware sample На железе стоит Proxmox VE. Внутри него поднял минимальную Debian VM, а уже внутри Debian запускается QEMU с Windows 10. То есть Windows с малварью живет не напрямую в Proxmox, а внутри nested QEMU. Параметры Debian VM: - Debian GNU/Linux 13 trixie - 8 vCPU - ~8 GB RAM Режим TCG медленнее, зато QEMU сам транслирует guest-инструкции и может логировать выполнение на уровне блоков, инструкций и CPU state. QEMU запускался примерно так: qemu-system-x86_64 \ -accel tcg,thread=multi \ -cpu max \ -smp 8 \ -m 4096 \ -display none \ -nic none \ -drive file=win10-run.qcow2,format=qcow2,if=ide \ -serial file:serial.log \ -D qemu-tcg.log \ -d guest_errors Перед запуском создается snapshot/overlay, внутрь Windows копируется sample, затем Windows стартует в TCG. Один реальный прогон малвари занял примерно 5 минут. За 60 секунд полной трассировки получилось около 2.1 GB лога. Лог содержит сырые инструкции, который выполнялись на "процессоре": IN: 0xfffff80577ca06a1: 48 8b c7 movq %rdi, %rax 0xfffff80577ca06a4: eb ac jmp 0xfffff80577ca0652 Trace 6: RAX=0000000000000000 RBX=ffffe509e52773f8 RIP=fffff80577ca06a1 RFL=00040246 CR3=000000012dd3f000 Мы также видим весь kernel space, любой код который там выполнялся, все системколлы, полный доступ к памяти винды, что дает очень много инфы о запускаемой программы. Далее я хочу чекнуть как с 2 гигабайтным логом справится локальная ллм типа геммы
850
10
В итоге была найдена только 1 уязвимость out of bounds read (cwe 126), зарепортил, уровень medium 5.5, посмотрим че ответя. Таргет был Windows driver ПО Krisp https://hackerone.com/krisp?type=team
824
11
بدون متن...
885
12
Добавили MCP
943
13
https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает
1 082
14
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
1 092
15
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей на
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели
1 236
16
CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL) https://github.com/0xABCD01/CVE-2026-41089
1 230
17
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в не
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье: https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
1 239
18
Надо чекнуть Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows. https://github.com/kernelstub/NTForge
1 171
19
بدون متن...
1 238
20
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет
1 293