What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-03 23:29:59 | La collection Artefacte et la thésaurisation pour le bien de l'exclusivité médico-légale… & # 8211;Partie 2 The art of artifact collection and hoarding for the sake of forensic exclusivity… – Part 2 (lien direct) |
Dans la première partie, j'avais promis de démontrer que le piratage est bon!(Parfois) J'ai un peu menti là-bas, mais je ne vais pas mentir aujourd'hui: je vais tout vous dire dans la partie & # 8230; Continuer la lecture & # 8594;
In the first part I had promised that I would demonstrate that the piracy is good! (sometimes) I kinda lied back there, but I am not going to lie today: I will tell you all about it in the part … Continue reading → |
Technical | ★★★★ | |
|
2024-05-02 00:18:27 | La collection Artefacte et la thésaurisation pour le bien de l'exclusivité médico-légale… The art of artifact collection and hoarding for the sake of forensic exclusivity… (lien direct) |
Ce message va vous épater & # 8211;Je vais démontrer que le piratage est bon!(Parfois) J'aime défier les processus médico-légaux du jour.Au moins dans ma tête.Aujourd'hui, nous utilisons souvent ce médecin médico-légal & # 8230; Continuer la lecture & # 8594;
This post is going to blow your mind – I am going to demonstrate that the piracy is good! (sometimes) I like to challenge the forensic processes du jour. At least in my head. Today we often use this forensic … Continue reading → |
Technical | ★★★ | |
|
2024-04-26 23:40:21 | Une licence (métadonnées) à tuer (pour)… A license (metadata) to kill (for)… (lien direct) |
De nombreux artefacts médico-légaux peuvent être examinés sous de nombreux angles différents.Il y a quelques années, j'ai proposé un concept de volant qui a tenté de résoudre un problème de recherche de fichiers inhabituels, orphelins et potentiellement malveillants déposés dans des répertoires qui contiennent & # 8230; continuer à lire &# 8594;
Many forensic artifacts can be looked at from many different angles. A few years ago I proposed a concept of filighting that tried to solve a problem of finding unusual, orphaned and potentially malicious files dropped inside directories that contain … Continue reading → |
Technical | ★★★★ | |
|
2024-03-16 22:18:38 | Lolbin wow ltd x 2 (lien direct) | J'ai déjà couvert des cas où j'ai abusé de la variable de l'environnement Windir pour lolbiniser certains exécutables wow.Je pensais avoir couvert W32TM.exe auparavant, mais en regardant l'historique de mon blog, je ne peux pas y trouver de référence.Alors, voici:
I have already covered cases where I abused WINDIR environment variable to LOLBINize some WoW executables. I thought I covered w32tm.exe before, but looking at my blog history I can’t find any reference to it. So, here it is: |
Technical | ★★★ | |
|
2024-03-01 23:59:08 | 1 Secret peu connu de nslookup.exe 1 little known secret of nslookup.exe (lien direct) |
J'ai récemment été surpris par le fait que Windows & # 8217;nslookup.exe accepte le fichier de configuration local .nslookuprc.Lorsque le programme démarre, il résout la variable d'environnement à la maison, puis recherche un fichier% Home% \. NSlookuprc.Il lit ensuite ce fichier de configuration (si & # 8230; Continuer la lecture & # 8594;
I was recently surprised by the fact that Windows’ nslookup.exe accepts the local config file .nslookuprc. When the program starts it resolves the environment variable HOME and then looks for a %HOME%\.nslookuprc file. It then reads this config file (if … Continue reading → |
Technical | ★★★ | |
|
2024-01-13 23:09:46 | 2 petits secrets de scriptrunner.exe 2 little secrets of ScriptRunner.exe (lien direct) |
Scriptrunner.exe est un lolbin connu, mais le projet lolbas ne couvre pas toutes ces fonctionnalités de programme.Timeout Il peut exécuter les processus enfants et les tuer après un certain délai d'attente f.ex.: Scriptrunner.exe -appvscript cmd.exe -appvscriptrunnerParameters -imeout = 5 invocations multiples Il peut exécuter & # 8230; | Technical | ★★★ | |
|
2024-01-12 23:39:35 | Ajout de caractères (s) au traitement de la ligne de commande Adding character(s) to Command Line processing (lien direct) |
Dans mon ancien article sur CerUtil, j'ai mentionné qu'il accepte un certain nombre de caractères Unicode moins connus transmis à sa ligne de commande.PowerShell acceptant un certain nombre de caractères Unicode représentant & # 8220; - & # 8221;Et ses variations sont également un fait très connu.& # 8230; Continuer la lecture &# 8594;
In my old post about certutil I mentioned that it accepts a number of less-known Unicode characters passed to its command line. Powershell accepting a number of Unicode characters representing “-” and its variations is a very well-known fact too. … Continue reading → |
Technical | ★★★★ | |
|
2024-01-01 17:23:21 | Bitmap Hunting in SPL (lien direct) | L'un des exercices de chasse les plus ennuyeux est de détecter une séquence d'échecs suivis d'un succès.Les attaques de force brute, les attaques de dictionnaires et enfin les attaques par pulvérisation de mot de passe ont tout cela en commun: beaucoup d'échecs, parfois suivis d'un succès.Le & # 8230; Continuer la lecture & # 8594;
One of the most annoying hunting exercises is detecting a sequence of failures followed by a success. Brute-force attacks, dictionary attacks, and finally password spray attacks have all this in common: lots of failures, sometimes followed by a success. The … Continue reading → |
Technical | ★★★★ | |
|
2024-01-01 13:21:53 | 1 Secret peu connu de hdwwiz.exe 1 little known secret of hdwwiz.exe (lien direct) |
Il existe un certain nombre de fichiers .cpl qui peuvent être chargés à l'aide de leurs équivalents exécutables natifs OS F.ex hdwwiz.exe charge hdwwiz.cpl.En tant que tel, nous pouvons copier hdwwiz.exe dans un autre dossier F.Ex.C: \ Tester et charger malveillant hdwwiz.cpl du même & # 8230; Continuer la lecture & # 8594;
There is a number of .cpl files that can be loaded using their OS-native executable equivalents f.ex hdwwiz.exe loads hdwwiz.cpl. As such, we can copy hdwwiz.exe to a different folder f.ex. c:\test and load malicious hdwwiz.cpl from the very same … Continue reading → |
Technical | ★★★ | |
|
2023-12-31 10:21:41 | 1 Secret peu connu de Forfiles.exe 1 little known secret of forfiles.exe (lien direct) |
Le programme Forfiles.exe est un lolbin bien connu.Sa puissance provient de l'argument de la ligne de commande / C qui aide à spécifier une commande que nous souhaitons exécuter pour chaque élément trouvé par le programme lorsqu'il énumère les répertoires.Le moins & # 8230; | Technical | ★★★ | |
|
2023-12-28 23:14:48 | 1 Secret peu connu du regsvr32.exe, prenez trois 1 little known secret of regsvr32.exe, take three (lien direct) |
Dans le passé, j'ai écrit plusieurs fois sur l'effet secondaire d'avoir 2 binaires nommés de la même manière et résidant dans les répertoires System32 et Syswow64 respectifs.Regsvr32.exe n'est pas différent.Si vous exécutez un regsvr32.exe 32 bits avec une commande & # 8230; Continuer la lecture & # 8594;
In the past I wrote a few times about the side-effect of having 2 binaries named the same way and residing in respective System32 and SysWOW64 directories. Regsvr32.exe is not different. If you run a 32-bit Regsvr32.exe with a command … Continue reading → |
Technical | ★★★ | |
|
2023-12-26 15:22:47 | 1 Secret peu connu de Runonce.exe (32 bits) 1 little known secret of runonce.exe (32-bit) (lien direct) |
Lorsque vous exécutez une version 32 bits de Runonce.exe sur une version 64 bits de Windows et passez à l'argument / RunOnceEx6432, vous ferez le chargement de la bibliothèque iernonce.dll et exécuterez son API RunOnceExprocess & # 8230;Étant donné que la bibliothèque Iernonce.dll est chargée à l'aide de & # 8230; Continuer la lecture & # 8594;
When you execute 32-bit version of runonce.exe on a 64-bit version of Windows and pass to it the /RunOnceEx6432 argument you will make the program load iernonce.dll library and execute its RunOnceExProcess API… Since the iernonce.dll library is loaded using … Continue reading → |
Technical | ★★★ | |
|
2023-12-25 11:15:35 | 2 Secrets moins connus des outils de ligne de commande de commande Windows Command… 2 less known secrets of Windows command command-driven line tools… (lien direct) |
De nombreuses commandes de prise en charge des outils Windows F.Ex.: Nous sommes très habitués à leurs invocations dans une forme de commande d'outils, mais il existe un autre moyen de les invoquer en utilisant des citations autour de ces commandes f.ex.: Cela rompt de nombreuses détections codées durs.& # 8230; Continuer la lecture & # 8594;
Many Windows tools support commands f.ex.: We are very used to their invocations in a form of tool command but there is an alternative way to invoke them by using quotes around these commands f.ex.: This breaks many hard-coded detections. … Continue reading → |
Tool Technical | ★★★★ | |
|
2023-12-14 00:08:10 | Problèmes de chemin d'installation et de portabilité personnalisés Custom Install Path & portability issues (lien direct) |
Si vous lisez mon blog depuis un certain temps, vous saurez que j'aime défier mon jeu de chasse aux menaces avec beaucoup d'err & # 8230;.banalités.Et pas les banalités que je peux ignorer, mais beaucoup d'entre elles & # 8230; Continuer la lecture & # 8594;
If you’ve been reading my blog for a while now you will know that I love to challenge my threat hunting game with a lot of err…. banalities. And not the banalities I can ignore, but a lot of these … Continue reading → |
Threat Technical | ★★★★ | |
|
2023-12-02 00:06:39 | Preuve de vie… Proof of life… (lien direct) |
& # 8216; Blade Runner & # 8217;& # 8211;Le film Cult Classic & # 8211;nous enseigne que les (non) traits / comportements humains peuvent être détectés avec un soi-disant test de Voight-Kampff.Cet article consiste à discuter (de ne pas encore concevoir) un test similaire à nos fins de chasse aux menaces & # 8230;La clé & # 8230; Continuer la lecture & # 8594;
‘Blade Runner’ – the cult classic movie – teaches us that the (non-)human traits/behaviors can be detected with a so-called Voight-Kampff test. This post is about discussing (not designing yet) a similar test for our threat hunting purposes… The key … Continue reading → |
Threat Technical | ★★★ | |
|
2023-11-15 22:52:24 | Lolbins pour les connaisseurs… partie 3 Lolbins for connoisseurs… Part 3 (lien direct) |
J'adore explorer des chemins logiciels inexplorés.Et pas nécessairement au niveau de l'assemblage & # 8211;et cela parce que souvent & # 8230;Ce n'est même pas nécessaire.Ils me conduisent souvent à des endroits vraiment étranges f.ex.Découvrir un logiciel qui lit une adresse mémoire & # 8230; | Technical | ★★★ | |
|
2023-10-28 21:15:23 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 3 Beyond the good ol\\' .bashrc entry… Part 3 (lien direct) |
Mise à jour après l'avoir publié, @netspooky m'a fait un ping avec quelques informations supplémentaires.Apparemment, cette technique est connue depuis au moins 2019 et a été démo par @ zer0pwn en premier.Ce billet de blog de MCG le décrit.Old Post Cette entrée est A & # 8230; Continuer la lecture & # 8594;
Update After I posted it, @netspooky pinged me with some additional info. Apparently, this technique is known since at least 2019 and was demoed by @zer0pwn first. This blog post from MCG describes it. Old Post This entry is a … Continue reading → |
Technical | ★★★ | |
|
2023-09-29 23:18:54 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 1 Beyond the good ol\\' .bashrc entry… Part 1 (lien direct) |
Je ne sais vraiment pas si c'est le premier post de la série, ou juste un seul-off aussi, le dernier.Il existe de nombreux articles de blog fantastiques qui traitent des astuces de persistance les plus populaires, F.Ex.& # 8230; Continuer la lecture & # 8594;
I really don’t know if this is the first post in the series, or just a one-off that is also, the last. There are many fantastic blog posts out there that deal with the most popular Linux persistence tricks, f.ex. … Continue reading → |
Technical | ★★★ | |
|
2023-09-27 22:38:17 | Zydisinfo & # 8211;le démontbler qui rompt le code, deux fois ZydisInfo – the disassembler that breaks the code, twice (lien direct) |
Le moment où j'ai entendu parler du code machine et de ses opcodes & # 8230;Je suis tombé amoureux.Être capable de comprendre le code machine en regardant simplement le binaire (d'accord, surtout sa représentation hexadécimale) était comme de la magie.Et depuis de nombreux assemblages X86 simples & # 8230; Continuer la lecture & # 8594;
The moment I heard of machine code and its opcodes… I fell in love. Being able to understand machine code from just looking at the binary (okay, mostly its hexadecimal representation) felt like magic. And since many simple x86 assembly … Continue reading → |
Technical | ★★★ | |
|
2023-09-22 22:48:48 | Utiliser les compétences OSINT pour votre propre protection… Using OSINT skills for your own protection… (lien direct) |
C'est probablement le blog le plus inhabituel que j'ai jamais écrit ici & # 8230;Oh, bien & # 8230;& # 8212;Tl; dr;Ma femme et moi avons récemment séjourné dans un hôtel assez cher.J'ai remporté le nom et la honte, mais il est juste de dire qu'ils n'ont pas fait & # 8217; t & # 8230; Continuer la lecture & # 8594;
This is probably the most unusual blog post I have ever written here… Oh, well… — TL;DR; My wife and I recently stayed at a pretty expensive hotel. I won’t name and shame, but it’s fair to say they didn’t … Continue reading → |
Technical | ★★★ | |
|
2023-09-21 22:37:46 | Documenter les sans-papiers & # 8211;La méthode Saveas de Excel \\… Documenting the undocumented – Excel\\'s SaveAs method… (lien direct) |
Il y a quelques jours, Kernelv0id a posé des questions sur un format Excel sans papiers qu'il a observé utilisé par l'une des charges utiles qu'il analysait.Il a vu un fichier .xlsb malveillant supprimer un fichier qui était enregistré avec un fichier & # 8230; Continuer la lecture &# 8594;
A few days ago kernelv0id asked about an undocumented Excel format that he observed being used by one of the payloads he was analysing. He saw a malicious .xlsb file dropping a file that was being saved with a file … Continue reading → |
Technical | ★★★★ | |
|
2023-09-09 00:09:28 | Lolbins pour les connaisseurs… partie 2 Lolbins for connoisseurs… Part 2 (lien direct) |
Cela peut sembler un peu contre-intuitif, mais certains lolbins très connus se rendent souvent dans des endroits que personne ne pensait jamais être possibles & # 8230;Poursuivant le sujet que j'ai commencé quelques jours plus tôt, aujourd'hui, je vais explorer quelques autres & # 8230; | Technical | ★★★ | |
|
2023-09-03 18:00:04 | Le secret du 961C151D2E87F2686A955A9BE24D316F1362BF21 The secret of 961c151d2e87f2686a955a9be24d316f1362bf21 (lien direct) |
Un récemment est tombé sur un échantillon qui comprenait la chaîne mystérieuse suivante: j'ai googlé et non seulement j'ai trouvé quelques occurrences supplémentaires de cette chaîne, mais j'ai également trouvé une règle Yara (avertissement PDF) qui l'a fait référence.J'ai dû & # 8230; continuer la lecture & # 8594;/ span>
A recently came across a sample that included the following, mysterious string: I googled around and not only found a few more occurrences of this string, but also found a yara rule (PDF warning) that referenced it. I had to … Continue reading → |
Technical | ★★★ | |
|
2023-08-25 23:05:18 | Des lolbins pour les connaisseurs… Lolbins for connoisseurs… (lien direct) |
Nous sommes tous assez obsédés par la pureté des lolbins.Mieux encore, s'il s'agit d'un comportement caché/non documenté/inattendu d'un binaire natif du système d'exploitation qui peut être abusé à des fins néfastes.Évidemment, je les aime le plus aussi.Cependant…Vivre …Continuer la lecture →
We are all quite fixated on a purity of lolbins. Best if it is a hidden/undocumented/unexpected behavior of a native OS binary that can be abused for some nefarious purposes. I, obviously, love these the most, too. However… Living Off … Continue reading → |
Technical | ★★★ |
1
We have: 24 articles.
We have: 24 articles.
To see everything:
Our RSS (filtrered)
