Антивирус молчит, а данные уходят на C2 — это kernel-mode руткит
Меньше 1% малвари — руткиты. Но именно они стоят за APT-кампаниями и скрытым майнингом. Причина: руткит работает на уровне ядра и контролирует, что система «видит».
🔍 Как устроено изнутри:
• DKOM — удаляет процесс из
• SSDT hooking — перехватывает системные вызовы до обработки ядром
• Minifilter + kernel callbacks — фильтрует файловый I/O и ослепляет защиту
🛠 Детектировать DKOM: сравни
https://codeby.net/threads/rootkit-obnaruzheniye-windows-dkom-ssdt-hooking-minifilter-i-callback-manipulyatsii-cherez-windbg-i-volatility.92639/
Меньше 1% малвари — руткиты. Но именно они стоят за APT-кампаниями и скрытым майнингом. Причина: руткит работает на уровне ядра и контролирует, что система «видит».
🔍 Как устроено изнутри:
• DKOM — удаляет процесс из
ActiveProcessLinks, он исчезает из диспетчера задач, оставаясь живым• SSDT hooking — перехватывает системные вызовы до обработки ядром
• Minifilter + kernel callbacks — фильтрует файловый I/O и ослепляет защиту
🛠 Детектировать DKOM: сравни
!process 0 0 и !poolfind Proc 0 в WinDbg. Если pool scan находит EPROCESS с PID, которого нет в списке — прямой индикатор атаки. В Volatility 3: расхождение между windows.pslist и windows.psscan выдаёт DKOM мгновенно.https://codeby.net/threads/rootkit-obnaruzheniye-windows-dkom-ssdt-hooking-minifilter-i-callback-manipulyatsii-cherez-windbg-i-volatility.92639/
👍8❤4🔥3
Forwarded from Hacker Lab
Пентест, DevOps, backend, CTF - всё крутится вокруг Linux. Но большинство изучают его хаотично: случайные команды, копипаст и никакой системы.
Мы собрали курс, который даёт цельную базу с нуля - от командной строки до Docker и Ansible.
В программе:
После курса Linux перестаёт быть «чёрным ящиком»: команды становятся понятными, терминал - рабочим инструментом, а серверная часть больше не вызывает ступор.
5 модулей. 16 уроков. Последовательная программа.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍6❤4
Forwarded from Hacker Lab
👆Курс «Основы Linux» доступен по подписке PRO.
В подписку также входят:
— курс «Введение в ИБ» с лабораторией
— курс «SQL Injection Master» с лабораторией + сертификат за сдачу экзамена
— Доступ ко всем CTF-заданиям платформы
— Pro-лаборатории
Это не доступ к одному курсу, а сразу к нескольким направлениям обучения и практики.
❗️Напоминаем: до конца апреля подписку PRO можно оформить со скидкой 20% по промокоду
В подписку также входят:
— курс «Введение в ИБ» с лабораторией
— курс «SQL Injection Master» с лабораторией + сертификат за сдачу экзамена
— Доступ ко всем CTF-заданиям платформы
— Pro-лаборатории
Это не доступ к одному курсу, а сразу к нескольким направлениям обучения и практики.
❗️Напоминаем: до конца апреля подписку PRO можно оформить со скидкой 20% по промокоду
PRO20👍6❤5🔥5