uk
Feedback
Order of Six Angles

Order of Six Angles

Відкрити в Telegram
4 829
Підписники
-224 години
+127 днів
+9330 день

Триває завантаження даних...

Залучення підписників
липень '26
липень '26
+1
в 0 каналах
червень '26
+139
в 2 каналах
Get PRO
травень '26
+193
в 5 каналах
Get PRO
квітень '26
+171
в 3 каналах
Get PRO
березень '26
+160
в 6 каналах
Get PRO
лютий '26
+89
в 1 каналах
Get PRO
січень '26
+116
в 2 каналах
Get PRO
грудень '25
+52
в 2 каналах
Get PRO
листопад '25
+122
в 1 каналах
Get PRO
жовтень '25
+73
в 2 каналах
Get PRO
вересень '25
+50
в 0 каналах
Get PRO
серпень '25
+75
в 0 каналах
Get PRO
липень '25
+127
в 2 каналах
Get PRO
червень '25
+113
в 4 каналах
Get PRO
травень '25
+91
в 2 каналах
Get PRO
квітень '25
+206
в 6 каналах
Get PRO
березень '25
+94
в 2 каналах
Get PRO
лютий '25
+62
в 5 каналах
Get PRO
січень '25
+77
в 4 каналах
Get PRO
грудень '24
+91
в 2 каналах
Get PRO
листопад '24
+264
в 1 каналах
Get PRO
жовтень '24
+251
в 2 каналах
Get PRO
вересень '24
+196
в 7 каналах
Get PRO
серпень '24
+156
в 5 каналах
Get PRO
липень '24
+136
в 3 каналах
Get PRO
червень '24
+215
в 4 каналах
Get PRO
травень '24
+162
в 2 каналах
Get PRO
квітень '240
в 0 каналах
Get PRO
березень '240
в 2 каналах
Get PRO
лютий '240
в 2 каналах
Get PRO
січень '240
в 2 каналах
Get PRO
грудень '230
в 3 каналах
Get PRO
листопад '230
в 1 каналах
Get PRO
жовтень '230
в 1 каналах
Get PRO
вересень '230
в 0 каналах
Get PRO
серпень '230
в 0 каналах
Get PRO
липень '230
в 0 каналах
Get PRO
червень '230
в 0 каналах
Get PRO
травень '230
в 0 каналах
Get PRO
квітень '230
в 0 каналах
Get PRO
березень '230
в 0 каналах
Get PRO
лютий '230
в 0 каналах
Get PRO
січень '23
+51
в 0 каналах
Get PRO
грудень '22
+30
в 0 каналах
Get PRO
листопад '22
+19
в 0 каналах
Get PRO
жовтень '22
+17
в 0 каналах
Get PRO
вересень '22
+30
в 0 каналах
Get PRO
серпень '22
+18
в 0 каналах
Get PRO
липень '22
+29
в 0 каналах
Get PRO
червень '22
+25
в 0 каналах
Get PRO
травень '22
+20
в 0 каналах
Get PRO
квітень '22
+33
в 0 каналах
Get PRO
березень '22
+24
в 0 каналах
Get PRO
лютий '22
+29
в 0 каналах
Get PRO
січень '22
+96
в 0 каналах
Get PRO
грудень '21
+61
в 0 каналах
Get PRO
листопад '21
+119
в 0 каналах
Get PRO
жовтень '21
+58
в 0 каналах
Get PRO
вересень '21
+114
в 0 каналах
Get PRO
серпень '21
+166
в 0 каналах
Get PRO
липень '21
+236
в 0 каналах
Get PRO
червень '21
+334
в 0 каналах
Get PRO
травень '21
+121
в 0 каналах
Get PRO
квітень '21
+104
в 0 каналах
Get PRO
березень '21
+133
в 0 каналах
Get PRO
лютий '21
+46
в 0 каналах
Get PRO
січень '21
+161
в 0 каналах
Get PRO
грудень '20
+1 940
в 0 каналах
Дата
Залучення підписників
Згадування
Канали
01 липня+1
Дописи каналу
Мой урожай
Мой урожай

2
Короче, идея с анализом малвари под QEMU TCG провалилась. Этот режим крайне медленный, даже если отключить мониторинг памяти и оставить только сисколы. Вернулся к KVM режиму. Ускорить, оптимизировать, давать больше времени вообще не помогает.
281
3
Сегодня каналу исполнилось 7 лет 🍾
435
4
с помощью qemu tcg можно также исследовать UEFI малварь, незнаю дойдут ли у меня до туда руки, так как щас чисто под юзерспейс малварь разрабатываю. Ну посмотрим
603
5
Вместо приватных репозиториев на гитхабе я стал использовать Forgejo - это селф хостед локальный репозиторий
699
6
В результате запуска одного сэмпла малвари, qemu tcg виртуалка генерит около 550 Мегабайт текста, и это еще сильно обрезанная версия. Приходится выставлять лимиты, иначе легко можно несколько гигабайт на один ран потратить. Эти гигабайты надо еще выкачать с виртуалки на хост, передать мне по локальной сети. Для полноценных больших ресерчей один прогон будет генерить десятки гигабайт данных.
699
7
Внутри винды, которая запущена под qemu tcg мы не ставим Procmon, Sysmon, дебаггеры и прочие анализирующие тулзы. Винда остается максимально чистой, а все наблюдение происходит снаружи, через QEMU TCG и офлайн-парсинг логов. Qemu Guest Agent тоже удаляется. QEMU TCG пишет не красивый отчет, а низкоуровневый поток событий: выполненные блоки кода, syscall-события, обращения к памяти. На этом уровне в логе есть шум всей виртуальной машины: ядро Windows, службы, cmd/launcher, conhost, дочерние процессы и сам sample. В этом шуме мы должны найти образ/процесс целевой малвари и выделить конкретно ее действия. Сделать это можно по комбинации сисколов и определенных действий. Главная сложность — отделить поведение образца от шума операционной системы и превратить поток низкоуровневых событий QEMU TCG в понятную картину: какие файлы трогал sample, куда писал, какие ключи реестра менял, пытался ли инжектиться в другие процессы и оставлял ли следы закрепления. Как это реально работает: 1. QEMU-плагин пишет сырой syscall-поток: PID, TID, CR3, image, syscall number, RIP, аргументы регистров и часть stack-аргументов. 2. Скрипт парсит ntdll.dll из гостевой Windows и строит карту: 0x55 -> NtCreateFile 0x3A -> NtWriteFile 0x18 -> NtOpenKey ... То есть syscall number превращается в человеческое имя: NtCreateFile, NtWriteVirtualMemory, NtSetValueKey. 3. Затем события фильтруются до PID/image целевого sample 4. После этого идут правила. Сисколы: NtCreateFile / NtOpenFile / NtReadFile / NtWriteFile попадают в file activity. А NtCreateKey / NtOpenKey / NtSetValueKey / NtDeleteValueKey попадают в registry activity. Да, для анализа обычной малвари это оверхэд. Но зато такой стеап может быть полезен и для анализа эксплоитов, особенно ядерных, так как можно видеть всю работу в ядре.
787
8
Есть проект https://panda.re/, который реализует точно такую же идею, что и я пописал. Я его пробовал использовать, но он очень нестабилен, еле как работает, больше трети функций вообще не работают, местами там куски дерьма мамонта. Вообще не юзабельное. Поэтому свой велосипед оказывается лучше и притом работает с виртуалкой Вин10 (панда только с вин 7).
750
9
Решил исследовать тему исследования малвари путем запуска через QEMU TCG, в полностью headless-режиме. QEMU TCG — это режим QEMU без аппаратной виртуализации, где гостевые инструкции не выполняются напрямую на CPU, а переводятся и исполняются самим QEMU через Tiny Code Generator. Tiny Code Generator берет блоки инструкций гостевой архитектуры, переводит их во внутреннее представление, а затем генерирует исполняемый код для CPU хоста. Эти переведенные блоки кэшируются и переиспользуются, поэтому QEMU не интерпретирует каждую инструкцию заново, а выполняет динамическую бинарную трансляцию. Стек получился такой: Proxmox VE -> Debian VM -> QEMU -> Windows 10 guest -> malware sample На железе стоит Proxmox VE. Внутри него поднял минимальную Debian VM, а уже внутри Debian запускается QEMU с Windows 10. То есть Windows с малварью живет не напрямую в Proxmox, а внутри nested QEMU. Параметры Debian VM: - Debian GNU/Linux 13 trixie - 8 vCPU - ~8 GB RAM Режим TCG медленнее, зато QEMU сам транслирует guest-инструкции и может логировать выполнение на уровне блоков, инструкций и CPU state. QEMU запускался примерно так: qemu-system-x86_64 \ -accel tcg,thread=multi \ -cpu max \ -smp 8 \ -m 4096 \ -display none \ -nic none \ -drive file=win10-run.qcow2,format=qcow2,if=ide \ -serial file:serial.log \ -D qemu-tcg.log \ -d guest_errors Перед запуском создается snapshot/overlay, внутрь Windows копируется sample, затем Windows стартует в TCG. Один реальный прогон малвари занял примерно 5 минут. За 60 секунд полной трассировки получилось около 2.1 GB лога. Лог содержит сырые инструкции, который выполнялись на "процессоре": IN: 0xfffff80577ca06a1: 48 8b c7 movq %rdi, %rax 0xfffff80577ca06a4: eb ac jmp 0xfffff80577ca0652 Trace 6: RAX=0000000000000000 RBX=ffffe509e52773f8 RIP=fffff80577ca06a1 RFL=00040246 CR3=000000012dd3f000 Мы также видим весь kernel space, любой код который там выполнялся, все системколлы, полный доступ к памяти винды, что дает очень много инфы о запускаемой программы. Далее я хочу чекнуть как с 2 гигабайтным логом справится локальная ллм типа геммы
850
10
В итоге была найдена только 1 уязвимость out of bounds read (cwe 126), зарепортил, уровень medium 5.5, посмотрим че ответя. Таргет был Windows driver ПО Krisp https://hackerone.com/krisp?type=team
824
11
Немає тексту...
885
12
Добавили MCP
943
13
https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает
1 082
14
Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos.
1 092
15
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей на
Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели
1 236
16
CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL) https://github.com/0xABCD01/CVE-2026-41089
1 230
17
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в не
Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье: https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html
1 239
18
Надо чекнуть Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows. https://github.com/kernelstub/NTForge
1 171
19
Немає тексту...
1 238
20
я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет
1 293