Заметки DFIRа
⛓Одним из индикаторов внедрения кода в процесс является наличие секции памяти с правами PAGE_EXECUTE_READWRITE. Это связано с тем, что внедрение кода часто требует создания секций памяти с правами на выполнение и запись, что не является типичным для стандартных приложений. Секции памяти с правами PAGE_EXECUTE_READWRITE могут указывать на то, что в процесс был внедрён сторонний код.
Как при помощи $MFT обнаружить факты запуска ВПО
Хочу рассказать о том, как не имея в логах никакой инфы о факте запуска какого-либо ПО, узнать когда и что запускалось на тачке.
URLhaus — практическое применение
Сегодня столкнулся с таской, которая оказалась не совсем тривиальной, но я вспомнил про один замечательный ресурс о котором хочу вам рассказать
Форензика пользовательских файлов Outlook
OST-файлы — это автономные файлы хранилища (Offline Storage Table), которые создаются Microsoft Outlook для работы с почтой, календарями и контактами без постоянного подключения к серверу Exchange. Они содержат локальную копию данных пользователя и синхронизируются с сервером при восстановлении связи.
Про оценку возможности восстановления данных 📝
Лирика и теория это конечно хорошо, но все это не работает без практики 🌚
CVE-2023-32315 — уязвимость Openfire
Недавно решал новую таску на CyberDefenders, и решил поделиться с вами инфой.