What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-26 23:40:21 | Une licence (métadonnées) à tuer (pour)… A license (metadata) to kill (for)… (lien direct) |
De nombreux artefacts médico-légaux peuvent être examinés sous de nombreux angles différents.Il y a quelques années, j'ai proposé un concept de volant qui a tenté de résoudre un problème de recherche de fichiers inhabituels, orphelins et potentiellement malveillants déposés dans des répertoires qui contiennent & # 8230; continuer à lire &# 8594;
Many forensic artifacts can be looked at from many different angles. A few years ago I proposed a concept of filighting that tried to solve a problem of finding unusual, orphaned and potentially malicious files dropped inside directories that contain … Continue reading → |
Technical | ★★★★ | |
|
2024-04-25 23:33:44 | Exceller à Excel, partie 4 Excelling at Excel, Part 4 (lien direct) |
Excel est l'empereur de l'automatisation.Pas le type SOAR, mais le local & # 8211;le vôtre.Pourquoi?Ses formules et ses capacités VBA peuvent transformer de nombreuses tâches terriblement banales en de nombreuses opportunités d'automatisation & # 8230;Par exemple & # 8230;Certaines tâches de programmation.Le cas / commutateur & # 8230; Continuer la lecture & # 8594;
Excel is the emperor of automation. Not the SOAR type, but the local one – yours. Why? Its formulas and VBA capabilities can turn many awfully mundane tasks into plenty of automation opportunities… For instance… certain programming tasks. The case/switch … Continue reading → |
★★ | ||
|
2024-04-19 00:32:55 | Allons-nous dire… au revoir, file d'attente de phishing?Partie 2 Shall we say… Good bye, phishing queue? Part 2 (lien direct) |
[Ce message est un travail en cours;Il sera mis à jour lorsque le script terminera son traitement] Dans mon ancienne pièce, j'ai fait valoir que nous devrions cesser de nous soucier des alertes de phishing.Bien sûr, c'était un peu un parabole & # 8230;Pourtant, & # 8230; continuer à lire & # 8594;
[this post is work in progress; it will be updated when the script finishes its processing] In my older piece I argued that we should stop caring about phishing alerts. Of course, it was a bit of a parabole… Still, … Continue reading → |
★★ | ||
|
2024-04-05 23:46:43 | L'art de couper les coins The art of cutting corners (lien direct) |
J'adore les solutions axées sur le ROI et ce post en parle.Ma pratique personnelle de conseil en cybersécurité m'a exposé à de nombreux types différents de & # 8216; IT Security & # 8217;emplois au cours des 13 dernières années et aujourd'hui je décrirai l'un d'eux & # 8230;Presque & # 8230; Continuer la lecture & # 8594;
I love ROI-driven solutions and this post is about one of them. My personal cybersecurity consulting practice exposed me to many different types of ‘IT security’ jobs over last 13 years and today I will describe one of them… Nearly … Continue reading → |
★★★★ | ||
|
2024-03-31 00:57:22 | Subfrida v0.1 (lien direct) | Comme beaucoup d'entre vous le savent, je suis un grand fan de Frida Framework et j'adore son intuitivité et sa flexibilité, surtout en ce qui concerne les gestionnaires de génération automatique pour les fonctions accrochées, même si elles sont choisies au hasard.Dans mon ancien Frida & # 8230; Continuer la lecture & # 8594;
As many of you know, I am a big fan of Frida framework and I love its intuitiveness and flexibility, especially when it comes to auto-generating handlers for hooked functions, even if they are randomly chosen. In my older Frida … Continue reading → |
★★★ | ||
|
2024-03-30 00:05:31 | Du métro à la sur-sol From Underground to Overground (lien direct) |
Il existe de nombreux débats et drames Infosec liés à la recherche sur la vulnérabilité, à la publication des outils de sécurité offensive (OST), au code de la preuve de concept (POC) et ces derniers jours & # 8211;Certains gangsters originaux (OG) réfléchissent à leurs propres actions en publiant des mémoires en larmes & # 8230; Continuer la lecture & # 8594;/ span>
There are many debates and infosec dramas related to vulnerability research, publishing Offensive Security Tools (OST), Proof Of Concept (POC) Code, and in recent days – some Original Gangsters (OG) are reflecting on their own doings by posting teary memoirs … Continue reading → |
Tool Vulnerability | ★★★★ | |
|
2024-03-16 23:40:35 | Farmagez le Windir Env.var.avec l'espace Stuffing up the WINDIR env. var. with THE SPACE (lien direct) |
J'adore revisiter le & # 8216; il n'y a plus rien à trouver là-bas & # 8217;des cas et j'ai décrit ce processus ici.Récemment, je pensais à la variable de l'environnement Windir.J'ai déjà couvert quelques cas où les exécutables WOW pourraient & # 8230; Continuer la lecture & # 8594;
I love revisiting the ‘there is nothing else to be found there anymore’ cases and I described this process here. Recently, I’ve been thinking of the WINDIR environment variable. I have already covered a few cases where WoW executables could … Continue reading → |
★★★ | ||
|
2024-03-16 22:18:38 | Lolbin wow ltd x 2 (lien direct) | J'ai déjà couvert des cas où j'ai abusé de la variable de l'environnement Windir pour lolbiniser certains exécutables wow.Je pensais avoir couvert W32TM.exe auparavant, mais en regardant l'historique de mon blog, je ne peux pas y trouver de référence.Alors, voici:
I have already covered cases where I abused WINDIR environment variable to LOLBINize some WoW executables. I thought I covered w32tm.exe before, but looking at my blog history I can’t find any reference to it. So, here it is: |
Technical | ★★★ | |
|
2024-03-03 00:33:23 | 1 Secret peu connu de l'Explorer.exe 1 little known secret of explorer.exe (lien direct) |
Windows Explorer est une bête.Il fait tellement de choses quand cela commence que ça fait mal & # 8230;Parfois, littéralement.L'une des choses qu'il vérifie lors de sa routine de démarrage est la comparaison de la valeur de registre HKEY_CURRENT_USER \ CONSTRAL PANNEL \ APPEMESS \ Schemelangid et le résultat & # 8230; Continuer la lecture & # 8594;
Windows Explorer is a beast. It does so many things when it starts that it hurts… Sometimes, literally. One of the things it checks during its startup routine is the comparison of the Registry value HKEY_CURRENT_USER\Control Panel\Appearance\SchemeLangID and the result … Continue reading → |
★★ | ||
|
2024-03-01 23:59:08 | 1 Secret peu connu de nslookup.exe 1 little known secret of nslookup.exe (lien direct) |
J'ai récemment été surpris par le fait que Windows & # 8217;nslookup.exe accepte le fichier de configuration local .nslookuprc.Lorsque le programme démarre, il résout la variable d'environnement à la maison, puis recherche un fichier% Home% \. NSlookuprc.Il lit ensuite ce fichier de configuration (si & # 8230; Continuer la lecture & # 8594;
I was recently surprised by the fact that Windows’ nslookup.exe accepts the local config file .nslookuprc. When the program starts it resolves the environment variable HOME and then looks for a %HOME%\.nslookuprc file. It then reads this config file (if … Continue reading → |
Technical | ★★★ | |
|
2024-01-21 00:59:29 | Comment devenir / continuer à être chercheur en sécurité? How to become/continue to be a security researcher? (lien direct) |
Dans mon article de 2018, j'ai énuméré un certain nombre de stratégies que l'on peut utiliser à & # 8216; trouver des trucs intéressants & # 8217;& # 8211;Ce message était fortement axé sur Windows & # 8217;Mécanismes de persistance & # 8230;Aujourd'hui, Dominik a publié ce TWIT: éliminez vos attitudes auto-défatistes à laquelle & # 8230; Continuer la lecture & # 8594;
In my post from 2018 I listed a number of strategies one can use to ‘find interesting stuff’ – that post was heavily focused on Windows’ persistence mechanisms… Today Dominik posted this twit: eliminate your self defeatist attitudes to which … Continue reading → |
★★★ | ||
|
2024-01-13 23:09:46 | 2 petits secrets de scriptrunner.exe 2 little secrets of ScriptRunner.exe (lien direct) |
Scriptrunner.exe est un lolbin connu, mais le projet lolbas ne couvre pas toutes ces fonctionnalités de programme.Timeout Il peut exécuter les processus enfants et les tuer après un certain délai d'attente f.ex.: Scriptrunner.exe -appvscript cmd.exe -appvscriptrunnerParameters -imeout = 5 invocations multiples Il peut exécuter & # 8230; | Technical | ★★★ | |
|
2024-01-12 23:39:35 | Ajout de caractères (s) au traitement de la ligne de commande Adding character(s) to Command Line processing (lien direct) |
Dans mon ancien article sur CerUtil, j'ai mentionné qu'il accepte un certain nombre de caractères Unicode moins connus transmis à sa ligne de commande.PowerShell acceptant un certain nombre de caractères Unicode représentant & # 8220; - & # 8221;Et ses variations sont également un fait très connu.& # 8230; Continuer la lecture &# 8594;
In my old post about certutil I mentioned that it accepts a number of less-known Unicode characters passed to its command line. Powershell accepting a number of Unicode characters representing “-” and its variations is a very well-known fact too. … Continue reading → |
Technical | ★★★★ | |
|
2024-01-06 23:46:54 | Bitmap Hunting in SPL, partie 2 Bitmap hunting in SPL, Part 2 (lien direct) |
Dans mon post précédent, j'ai présenté le concept de chasse au bitmap.Aujourd'hui, je vais montrer un autre exemple qui aide à trouver une séquence de plus de 2 événements.Considérez cette séquence d'événements générée artificiellement: & # 124;MakeResults & # 124;eval _time = _time & # 8230; Continuer la lecture &# 8594;
In my previous post I introduced the concept of bitmap hunting. Today I will show another example that helps to find a sequence of more than 2 events. Consider this artificially generated sequence of events: | makeresults | eval _time=_time … Continue reading → |
★★★★ | ||
|
2024-01-06 01:29:25 | 1 Secret peu connu de Fondue.exe 1 little known secret of fondue.exe (lien direct) |
Comme dans le cas précédent, nous pouvons copier le principal exécutable Fondue.exe dans un dossier différent f.ex.C: \ Test et démarrez-le à partir de là, chargeant le C: \ Test \ AppWiz.cpl que nous contrôlons dans le processus.
Same as in the previous case, we can copy the main executable fondue.exe to a different folder f.ex. c:\test and start it from there, loading the c:\test\appwiz.cpl we control in the process. |
★★ | ||
|
2024-01-05 23:36:45 | (Non) Mapping Firefox Extension IDS à leurs noms (Not) Mapping Firefox extension IDs to their names (lien direct) |
J'ai déjà cartographié une liste approfondie des ID de plug-in Chrome à leurs noms auparavant.Bien sûr, je savais depuis longtemps que je devrais également jeter un œil aux add-ons de Firefox & # 8230;.Et en toute honnêteté, j'ai fait & # 8230;Je & # 8230; Continuer la lecture & # 8594;
I have mapped an extensive list of Chrome Plug-in IDs to their names before. Of course, I knew for a long time that I will need to take a look at Firefox Add-ons too…. And in fairness, I did… I … Continue reading → |
★★ | ||
|
2024-01-01 17:23:21 | Bitmap Hunting in SPL (lien direct) | L'un des exercices de chasse les plus ennuyeux est de détecter une séquence d'échecs suivis d'un succès.Les attaques de force brute, les attaques de dictionnaires et enfin les attaques par pulvérisation de mot de passe ont tout cela en commun: beaucoup d'échecs, parfois suivis d'un succès.Le & # 8230; Continuer la lecture & # 8594;
One of the most annoying hunting exercises is detecting a sequence of failures followed by a success. Brute-force attacks, dictionary attacks, and finally password spray attacks have all this in common: lots of failures, sometimes followed by a success. The … Continue reading → |
Technical | ★★★★ | |
|
2024-01-01 13:21:53 | 1 Secret peu connu de hdwwiz.exe 1 little known secret of hdwwiz.exe (lien direct) |
Il existe un certain nombre de fichiers .cpl qui peuvent être chargés à l'aide de leurs équivalents exécutables natifs OS F.ex hdwwiz.exe charge hdwwiz.cpl.En tant que tel, nous pouvons copier hdwwiz.exe dans un autre dossier F.Ex.C: \ Tester et charger malveillant hdwwiz.cpl du même & # 8230; Continuer la lecture & # 8594;
There is a number of .cpl files that can be loaded using their OS-native executable equivalents f.ex hdwwiz.exe loads hdwwiz.cpl. As such, we can copy hdwwiz.exe to a different folder f.ex. c:\test and load malicious hdwwiz.cpl from the very same … Continue reading → |
Technical | ★★★ | |
|
2023-12-31 10:21:41 | 1 Secret peu connu de Forfiles.exe 1 little known secret of forfiles.exe (lien direct) |
Le programme Forfiles.exe est un lolbin bien connu.Sa puissance provient de l'argument de la ligne de commande / C qui aide à spécifier une commande que nous souhaitons exécuter pour chaque élément trouvé par le programme lorsqu'il énumère les répertoires.Le moins & # 8230; | Technical | ★★★ | |
|
2023-12-30 16:01:46 | 1 Secret peu connu de ieunatt.exe sur win11 1 little known secret of ieUnatt.exe on win11 (lien direct) |
Le programme a été modifié depuis Win10 et il charge désormais wdscore.dll presque immédiatement après son début.Malheureusement, bien qu'il le fasse via LoadLibraryEx, l'API est appelée d'une manière identique à l'appel LoadLibrary (les deux arguments LoadLibraryEx & # 8230; Continuer la lecture & # 8594;
The program has been changed since win10 and it now loads wdscore.dll almost immediately after it starts. Unfortunately, while it does so via LoadLibraryEx, the API is called in a way that is identical with calling LoadLibrary (both LoadLibraryEx arguments … Continue reading → |
★★★ | ||
|
2023-12-29 21:57:39 | 1 Secret peu connu de fsquirt.exe 1 little known secret of fsquirt.exe (lien direct) |
Le programme dans le titre de cet article n'est pas très connu.Il est utilisé pour des trucs Bluetooth aléatoires qui ne se soucient pas trop des utilisateurs de PC (ok, c'est un peu un étirement, mais je suppose que c'est vraiment & # 8230; Continue Reading & # 8594;
The program in the title of this post is not very well-known. It’s being used for some random Bluetooth stuff that not too many PC users care about (okay, it’s a bit of a stretch, but I guess it’s really … Continue reading → |
★★★ | ||
|
2023-12-28 23:14:48 | 1 Secret peu connu du regsvr32.exe, prenez trois 1 little known secret of regsvr32.exe, take three (lien direct) |
Dans le passé, j'ai écrit plusieurs fois sur l'effet secondaire d'avoir 2 binaires nommés de la même manière et résidant dans les répertoires System32 et Syswow64 respectifs.Regsvr32.exe n'est pas différent.Si vous exécutez un regsvr32.exe 32 bits avec une commande & # 8230; Continuer la lecture & # 8594;
In the past I wrote a few times about the side-effect of having 2 binaries named the same way and residing in respective System32 and SysWOW64 directories. Regsvr32.exe is not different. If you run a 32-bit Regsvr32.exe with a command … Continue reading → |
Technical | ★★★ | |
|
2023-12-27 00:09:35 | 1 Secret peu connu du regsvr32.exe, prenez deux 1 little known secret of regsvr32.exe, take two (lien direct) |
Il existe une fonctionnalité archaïque que RegSVR32.EXE exploite les bibliothèques Autoregister associées aux extensions de fichiers.Pour que cela fonctionne, il s'attend à ce qu'une clé Autoregister soit présente sous le gestionnaire d'extension de fichier avec une valeur par défaut pointant vers la bibliothèque & # 8230; Continuer la lecture & # 8594;
There is an archaic feature that regsvr32.exe leverages to autoregister libraries associated with file extensions. For this to work, it expects an AutoRegister key to be present under the file extension handler with a default value pointing to the library … Continue reading → |
★★ | ||
|
2023-12-26 15:22:47 | 1 Secret peu connu de Runonce.exe (32 bits) 1 little known secret of runonce.exe (32-bit) (lien direct) |
Lorsque vous exécutez une version 32 bits de Runonce.exe sur une version 64 bits de Windows et passez à l'argument / RunOnceEx6432, vous ferez le chargement de la bibliothèque iernonce.dll et exécuterez son API RunOnceExprocess & # 8230;Étant donné que la bibliothèque Iernonce.dll est chargée à l'aide de & # 8230; Continuer la lecture & # 8594;
When you execute 32-bit version of runonce.exe on a 64-bit version of Windows and pass to it the /RunOnceEx6432 argument you will make the program load iernonce.dll library and execute its RunOnceExProcess API… Since the iernonce.dll library is loaded using … Continue reading → |
Technical | ★★★ | |
|
2023-12-25 22:23:50 | 1 Secret peu connu du regsvr32.exe 1 little known secret of regsvr32.exe (lien direct) |
Le secret peu connu du regsvr32.exe est & # 8230;Tu es prêt?Vous pouvez charger plusieurs DLL en même temps.Ouais.Et pas seulement un supplément, mais beaucoup.Soit & # 8217; s regard un exemple: regsvr32.exe c: \ windows \ System32 \ hhctrl.ocx foo chargera d'abord c: \ windows \ system32 \ hhctrl.ocx & # 8230; Continuer la lecture & # 8594;
The little known secret of regsvr32.exe is… You ready? You can load multiple DLLs at the same time. Yup. And not just one extra, but many. Let’s have a look at an example: regsvr32.exe c:\WINDOWS\system32\hhctrl.ocx foo will first load c:\WINDOWS\system32\hhctrl.ocx … Continue reading → |
★★★ | ||
|
2023-12-25 11:15:35 | 2 Secrets moins connus des outils de ligne de commande de commande Windows Command… 2 less known secrets of Windows command command-driven line tools… (lien direct) |
De nombreuses commandes de prise en charge des outils Windows F.Ex.: Nous sommes très habitués à leurs invocations dans une forme de commande d'outils, mais il existe un autre moyen de les invoquer en utilisant des citations autour de ces commandes f.ex.: Cela rompt de nombreuses détections codées durs.& # 8230; Continuer la lecture & # 8594;
Many Windows tools support commands f.ex.: We are very used to their invocations in a form of tool command but there is an alternative way to invoke them by using quotes around these commands f.ex.: This breaks many hard-coded detections. … Continue reading → |
Tool Technical | ★★★★ | |
|
2023-12-19 00:52:09 | Banners de copyright & # 8211;révisé Copyright banners – re-visited (lien direct) |
Il y a plus d'une décennie, j'ai publié des statistiques aléatoires de bannières de copyright de mon référentiel malware (relativement petit par aujourd'hui.J'ai vraiment aimé ces statistiques à l'époque et je les aime toujours aujourd'hui.Pourquoi?Ces bannières sont excellentes & # 8216; basse suspension & # 8230; Continuer la lecture & # 8594;
Over a decade ago I posted some random copyright banner stats from my (relatively small by today’s standards) malware repo. I really liked these stats back then and I still like them today. Why? These banners are great ‘low hanging … Continue reading → |
Malware | ★★★ | |
|
2023-12-14 00:08:10 | Problèmes de chemin d'installation et de portabilité personnalisés Custom Install Path & portability issues (lien direct) |
Si vous lisez mon blog depuis un certain temps, vous saurez que j'aime défier mon jeu de chasse aux menaces avec beaucoup d'err & # 8230;.banalités.Et pas les banalités que je peux ignorer, mais beaucoup d'entre elles & # 8230; Continuer la lecture & # 8594;
If you’ve been reading my blog for a while now you will know that I love to challenge my threat hunting game with a lot of err…. banalities. And not the banalities I can ignore, but a lot of these … Continue reading → |
Threat Technical | ★★★★ | |
|
2023-12-02 00:06:39 | Preuve de vie… Proof of life… (lien direct) |
& # 8216; Blade Runner & # 8217;& # 8211;Le film Cult Classic & # 8211;nous enseigne que les (non) traits / comportements humains peuvent être détectés avec un soi-disant test de Voight-Kampff.Cet article consiste à discuter (de ne pas encore concevoir) un test similaire à nos fins de chasse aux menaces & # 8230;La clé & # 8230; Continuer la lecture & # 8594;
‘Blade Runner’ – the cult classic movie – teaches us that the (non-)human traits/behaviors can be detected with a so-called Voight-Kampff test. This post is about discussing (not designing yet) a similar test for our threat hunting purposes… The key … Continue reading → |
Threat Technical | ★★★ | |
|
2023-11-26 10:59:37 | Artefacts du système de fichiers pour un logiciel de sécurité connu File System artifacts for known security software (lien direct) |
Inspiré par le nouveau projet de Phill Moore intitulé Ruler, j'ai peigné ma collection de tous les anciens journaux Hijackthis (que je tracet il y a longtemps) à la recherche de chemins qui peuvent être associés à des logiciels de sécurité.Contrairement à Phill & # 8217; s, les données résultantes & # 8230; Continuer la lecture & # 8594;
Inspired by Phill Moore’s new project called Ruler, I combed my collection of all old HijackThis logs (that I web scraped a long time ago) looking for paths that may be associated with security software. Unlike Phill’s, the resulting data … Continue reading → |
★★ | ||
|
2023-11-25 00:27:57 | À la recherche de l'aléatoire de la manière la plus non AI / ML… Looking for the randomness in the most non-AI/ML way… (lien direct) |
Voici une recherche basée sur le nom de fichier à l'ancienne & # 8230;Il ne change pas le jeu, il n'apportera aucune solution immédiate, mais cela vaut toujours la peine d'être fait aujourd'hui & # 8230;Le logiciel que nous installons (Focus ici est sur Windows, comme d'habitude) crée un looot de fichiers, et & # 8230; Continuez à lire & # 8594;
Here’s an old-school file name-based research… it is not game changing, it won’t bring any immediate solution, but it’s still worth doing today… The software we install (focus here is on Windows, as usual) creates a loooot of files, and … Continue reading → |
★★ | ||
|
2023-11-22 23:23:03 | Le monde des fichiers partiellement téléchargés… The world of partially downloaded files… (lien direct) |
Chaque fois que vous téléchargez un fichier via un navigateur, un messager instantané ou d'autres applications & # 8230;Il est d'abord enregistré dans un fichier temporaire & # 8230;Ces fichiers temporaires sont enregistrés avec des extensions particulières: pour les navigateurs: pour les clients de messagerie: pour les messagers instantanés: existe-t-il & # 8230; Continuer la lecture &# 8594;
Anytime you download a file via a browser, instant messenger, or other apps… it is first saved to a temporary file… These temporary files are saved with some particular extensions: For Browsers: For email clients: For Instant Messengers: Are there … Continue reading → |
★★★ | ||
|
2023-11-15 22:52:24 | Lolbins pour les connaisseurs… partie 3 Lolbins for connoisseurs… Part 3 (lien direct) |
J'adore explorer des chemins logiciels inexplorés.Et pas nécessairement au niveau de l'assemblage & # 8211;et cela parce que souvent & # 8230;Ce n'est même pas nécessaire.Ils me conduisent souvent à des endroits vraiment étranges f.ex.Découvrir un logiciel qui lit une adresse mémoire & # 8230; | Technical | ★★★ | |
|
2023-11-11 23:28:40 | Qui suis je?Demander mon ami de dossier: whoami.exe… Who am I? Asking for my file friend: whoami.exe… (lien direct) |
Il y a beaucoup de choses à parler de Whoami.exe récemment, alors ici un autre article à ce sujet & # 8230;Lorsque nous parlons de whoami.exe, nous y pensons souvent dans & # 8216; atomic & # 8217;termes.Vous l'exécutez et vous obtenez les résultats.Mais ce faisant & # 8230; Continuez à lire & # 8594;
There is a lot talk about whoami.exe recently, so here’s one more post about it… When we talk about whoami.exe we often think of it in ‘atomic’ terms. You run it, and you get the results. But by doing so … Continue reading → |
★★★ | ||
|
2023-11-03 23:21:29 | Domaines d'e-mails AD 2023 Email domains AD 2023 (lien direct) |
De retour dans une journée (90s / 2000), si vous vouliez un e-mail, il y avait beaucoup de fournisseurs de courriels (gratuits) disponibles.Avec un minimum d'effort, on pourrait s'inscrire à autant de services de messagerie gratuits disponibles à l'époque que possible.Non & # 8230; Continuer la lecture & # 8594;
Back in a day (90s/2000s), if you wanted an email, there were lots of (free) email providers available. With a minimum of effort one could sign up to as many free email services available at that time as possible. No … Continue reading → |
★★ | ||
|
2023-10-28 21:15:23 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 3 Beyond the good ol\\' .bashrc entry… Part 3 (lien direct) |
Mise à jour après l'avoir publié, @netspooky m'a fait un ping avec quelques informations supplémentaires.Apparemment, cette technique est connue depuis au moins 2019 et a été démo par @ zer0pwn en premier.Ce billet de blog de MCG le décrit.Old Post Cette entrée est A & # 8230; Continuer la lecture & # 8594;
Update After I posted it, @netspooky pinged me with some additional info. Apparently, this technique is known since at least 2019 and was demoed by @zer0pwn first. This blog post from MCG describes it. Old Post This entry is a … Continue reading → |
Technical | ★★★ | |
|
2023-10-27 22:21:47 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 2 Beyond the good ol\\' .bashrc entry… Part 2 (lien direct) |
D'accord, d'accord, oui, c'est une série maintenant.La deuxième partie est là!Parcourir les applications Ubuntu disponibles, on peut trouver beaucoup de logiciels intéressants.L'un d'eux est KCHMViewer.Son objectif est d'afficher les fichiers CHM & # 8211;obsolète, mais toujours & # 8230; Continuer la lecture & # 8594;
Okay, okay, yup, it is a series now. Part two is here! Browsing available Ubuntu apps one can find a lot of interesting software. One of them is kchmviewer. Its purpose is to view CHM files – outdated, but still … Continue reading → |
★★ | ||
|
2023-10-25 23:49:37 | Chasse pour les prototypes et descriptions de l'API Windows… Hunting for Windows API prototypes and descriptions… (lien direct) |
Au fil des ans, j'ai fait beaucoup de tentatives d'extraction systématiquement des informations API Windows à partir de diverses sources, mais principalement, bien sûr, de la documentation d'aide Microsoft disponible à différents moments, sous différentes formes et formats de fichiers.Si vous avez besoin de & # 8230; Continuer la lecture & # 8594;
Over the years I have made a lot of attempts to systematically extract Windows API information from various sources, but primarily, of course, from Microsoft help documentation available at different times, in different forms and file formats. If you need … Continue reading → |
★★ | ||
|
2023-10-20 22:19:51 | Mappage des identifiants d'extension chrome à leurs noms, partie 2 Mapping Chrome extension IDs to their names, Part 2 (lien direct) |
Il y a près de 2 ans, j'ai publié la première partie, donc c'est le temps pour une mise à jour rapide.Et cette fois, je publie également le fichier & # 8211;Notez qu'il ne peut pas être utilisé à des fins commerciales, mais j'espère que vous allez & # 8230; Continuer la lecture & # 8594;
Nearly 2 years ago I published the first part, so it’s time for a quick update. And this time I am publishing the file as well – note that it cannot be used for commercial purposes, but hope you will … Continue reading → |
★★ | ||
|
2023-10-17 22:49:54 | Quel champagne boire? What Champagne to drink? (lien direct) |
La lecture d'articles sur les criminels appréciant (j'espère vraiment qu'ils ne sont pas seulement fléchis) boire l'empereur de tous les champagnes alias Dom P & eacute; Rignon, me fait sentir qu'ils manquent potentiellement de tant d'opportunités!Non seulement Dom P & eacute; Rignon est & # 8230; Continuer la lecture & # 8594; | ★ | ||
|
2023-10-13 22:43:54 | Dakar F. Dexray v2.33 (lien direct) |
Même en 2023, Dexray semble fournir de la valeur aux praticiens du DFIR.Je suis toujours très humilié par des ajouts non sollicités au code Dexray, car cela signifie que l'outil est toujours en vie, malgré le fait qu'il a été écrit en archaïque (par & # 8230; Continuer la lecture & # 8594;
Even in 2023 Dexray seems to be delivering value to DFIR practitioners. I am always very humbled by unsolicited additions to Dexray code, because it means the tool is still alive, despite the fact it was written in archaic (by … Continue reading → |
Tool | ★★★ | |
|
2023-09-29 23:18:54 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 1 Beyond the good ol\\' .bashrc entry… Part 1 (lien direct) |
Je ne sais vraiment pas si c'est le premier post de la série, ou juste un seul-off aussi, le dernier.Il existe de nombreux articles de blog fantastiques qui traitent des astuces de persistance les plus populaires, F.Ex.& # 8230; Continuer la lecture & # 8594;
I really don’t know if this is the first post in the series, or just a one-off that is also, the last. There are many fantastic blog posts out there that deal with the most popular Linux persistence tricks, f.ex. … Continue reading → |
Technical | ★★★ | |
|
2023-09-27 22:38:17 | Zydisinfo & # 8211;le démontbler qui rompt le code, deux fois ZydisInfo – the disassembler that breaks the code, twice (lien direct) |
Le moment où j'ai entendu parler du code machine et de ses opcodes & # 8230;Je suis tombé amoureux.Être capable de comprendre le code machine en regardant simplement le binaire (d'accord, surtout sa représentation hexadécimale) était comme de la magie.Et depuis de nombreux assemblages X86 simples & # 8230; Continuer la lecture & # 8594;
The moment I heard of machine code and its opcodes… I fell in love. Being able to understand machine code from just looking at the binary (okay, mostly its hexadecimal representation) felt like magic. And since many simple x86 assembly … Continue reading → |
Technical | ★★★ | |
|
2023-09-23 22:58:16 | Le côté caché du 24/7/365 & # 8211;Le terrible changement APAC The hidden side of 24/7/365 – The dreadful APAC shift (lien direct) |
Il est facile de dire & # 8216; nous suivons le soleil & # 8217;ou & # 8216; nous fournissons ce service 24/7/365 & # 8217;.L'histoire ne s'arrête pas là cependant & # 8211;La partie de livraison de cette promesse a une histoire différente à raconter.Celui dont on parle rarement, & # 8230; Continuez à lire & # 8594;
It’s easy to say ‘we follow the Sun’ or ‘we deliver that 24/7/365 service’. The story doesn’t end there though – the delivery part of this promise has a different story to tell. The one that is rarely talked about, … Continue reading → |
★★ | ||
|
2023-09-22 22:48:48 | Utiliser les compétences OSINT pour votre propre protection… Using OSINT skills for your own protection… (lien direct) |
C'est probablement le blog le plus inhabituel que j'ai jamais écrit ici & # 8230;Oh, bien & # 8230;& # 8212;Tl; dr;Ma femme et moi avons récemment séjourné dans un hôtel assez cher.J'ai remporté le nom et la honte, mais il est juste de dire qu'ils n'ont pas fait & # 8217; t & # 8230; Continuer la lecture & # 8594;
This is probably the most unusual blog post I have ever written here… Oh, well… — TL;DR; My wife and I recently stayed at a pretty expensive hotel. I won’t name and shame, but it’s fair to say they didn’t … Continue reading → |
Technical | ★★★ | |
|
2023-09-21 22:37:46 | Documenter les sans-papiers & # 8211;La méthode Saveas de Excel \\… Documenting the undocumented – Excel\\'s SaveAs method… (lien direct) |
Il y a quelques jours, Kernelv0id a posé des questions sur un format Excel sans papiers qu'il a observé utilisé par l'une des charges utiles qu'il analysait.Il a vu un fichier .xlsb malveillant supprimer un fichier qui était enregistré avec un fichier & # 8230; Continuer la lecture &# 8594;
A few days ago kernelv0id asked about an undocumented Excel format that he observed being used by one of the payloads he was analysing. He saw a malicious .xlsb file dropping a file that was being saved with a file … Continue reading → |
Technical | ★★★★ | |
|
2023-09-16 22:11:55 | Analyse de données NSRL pour le plaisir et parce que… curieux, partie 3 Analysing NSRL data set for fun and because… curious, Part 3 (lien direct) |
Il y a près de deux ans, j'ai publié un résumé rapide de mon analyse des données NSRL.Je crois que j'ai été le premier à évaluer publiquement cet ensemble de données, et je suis toujours au-dessus des conclusions difficiles que j'ai parvenues à l'époque, & # 8230; Continuer la lecture & # 8594;
Nearly two years ago I published a quick summary of my analysis of NSRL data. I believe I was the first one to publicly evaluate this data set, and I still stand by the harsh conclusions I reached back then, … Continue reading → |
★★★ | ||
|
2023-09-09 00:09:28 | Lolbins pour les connaisseurs… partie 2 Lolbins for connoisseurs… Part 2 (lien direct) |
Cela peut sembler un peu contre-intuitif, mais certains lolbins très connus se rendent souvent dans des endroits que personne ne pensait jamais être possibles & # 8230;Poursuivant le sujet que j'ai commencé quelques jours plus tôt, aujourd'hui, je vais explorer quelques autres & # 8230; | Technical | ★★★ | |
|
2023-09-03 18:00:04 | Le secret du 961C151D2E87F2686A955A9BE24D316F1362BF21 The secret of 961c151d2e87f2686a955a9be24d316f1362bf21 (lien direct) |
Un récemment est tombé sur un échantillon qui comprenait la chaîne mystérieuse suivante: j'ai googlé et non seulement j'ai trouvé quelques occurrences supplémentaires de cette chaîne, mais j'ai également trouvé une règle Yara (avertissement PDF) qui l'a fait référence.J'ai dû & # 8230; continuer la lecture & # 8594;/ span>
A recently came across a sample that included the following, mysterious string: I googled around and not only found a few more occurrences of this string, but also found a yara rule (PDF warning) that referenced it. I had to … Continue reading → |
Technical | ★★★ | |
|
2023-08-26 00:15:33 | Écrire de meilleures règles Yara en 2023… Writing better Yara rules in 2023… (lien direct) |
Dans mon article précédent, je pensais à une tâche impossible :comment consolider un vaste ensemble de règles Yara non organisées (que beaucoup d'entre nous, certes, collectent et accumulent - il suffit de télécharger le tout, au hasard, depuis tous les coins d'Internet - Continuer la lecture →
In my previous post I mused about an impossible task – how to consolidate a large, unorganized yara ruleset (that lots of us, admittedly, collect and hoard – just downloading it all, randomly, from all the corners of the internet … Continue reading → |
★★★★ |
To see everything:
Our RSS (filtrered)
