Содержание статьи

 

Какой плагин посоветуешь для плавного скроллинга страницы? Речь идет об анимации, которая проигрывается по мере прокрутки страницы.

Попробуй для своих проектов ScrollMagic. В качестве движка анимации выбран GreenSock — это прекрасная библиотека для скриптовой анимации на Flash, которая поддерживает и JavaScript. По ссылке есть все необходимые инструкции для того, чтобы скачать и начать использовать данный инструмент, успехов.

 

Подскажи какие-нибудь инструменты для тестирования юзабилити.

Инструментов довольно много, у каждого свои плюсы и минусы. Практически все инструменты платные, но у многих есть триальный период, за который можно определиться, стоит ли программа своих денег или нет. Начну с Ovo Logger от Ovo Studios. Создан в основном для студий тестирования юзабилити, в которых распределенные команды исследователей работают с большими объемами. Инструмент рассчитан в основном на них, поскольку им нужно надежное средство для захвата, редактирования и обмена результатами. Отсюда, как ты сам понимаешь, довольно высокая цена — аж от 3к долларов.

У этого же производителя есть Ovo Solo, его можно назвать лайт-версией Ovo Logger, которая позволяет захватывать видео взаимодействия с экраном одновременно с лицами и голосами участников исследования. Простое управление ведения журнала позволяет анализировать получившиеся видео. Однако инструмент поддерживает только Windows, поддержка iOS не предусмотрена.

Следующим могу предложить Morae от Techsmith — первый инструмент, специально созданный для юзабилити-тестирования, и, несмотря на возраст, до сих пор один из лучших вариантов. Позволяет записывать, анализировать, редактировать и делиться сессиями. Morae устанавливается на компьютер как приложение и через веб-камеру записывает все взаимодействия с экраном, в том числе голос и лицо исследователя. В комплекте — вся документация, инструменты редактирования и распространения. Впечатляющие инструменты захвата и редактирования, подходит для больших проектов. Но Маки снова пролетают.


Продолжать можно еще и еще, софта очень много: тот же UsabilityTools, который содержит набор объединенных в один интерфейс инструментов для юзабилити, фидбэка и отслеживания нажатий, или TryMyUI, что представляет собой дистанционный немодерируемый инструмент на основе SaaS. У тестеров есть возможность самим создавать задания. Предоставляются видео, включая захват экрана и голоса тестеров.

 

Можно ли как-то рулить Windows-машинами из консоли Linux?

Да, можно! Я вижу два наиболее интересных варианта: первый — это через winexe, второй — через freeSSHd. И тот и другой вариант рабочие и довольно неплохие, давай разберем оба. Начнем с первого:

wget http://www.openvas.org/download/wmi/wmi-1.3.14.tar.bz2
tar -xvf wmi-1.3.14.tar.bz2
cd wmi-1.3.14\Samba\source\wineexe\

Далее либо вручную, либо с помощью patch -p0 -i patchfile применяем изменения из :

sudo make

После чего можно уже делать

winexe -U domain/user%password //server 'dsquery group -name "Группа"| dsget group -members | dsget user'

или

wmic -U domain/user%password //server 'select * from Win32_ComputerSystem'

Первая команда winexe позволяет запускать любые консольные команды через RPC на Windows-машине, вторая — делать WMI-запросы, что, в общем-то, дает еще больше возможностей. Однако есть проблема с выводом консоли winexe от удаленной машины, поскольку Microsoft любит и UTF-16, и CP1251, и CP866 разом. А местами и вовсе UCS-2. Проблема решается очень просто:

luit -encoding cp866 winexe -U domain/user%password //server 'cmd'

И второй вариант. Тут все совсем просто: ставим freeSSHd, настраиваем публичные ключи доступа, все аналогично обычному SSH, и пробуем подключиться, выполнив команду листинга директорий:

ssh -2q -i <my_key_files_path>/id_dsa -ladmin -oStrictHostKeyChecking=no -oUserKnownHostsFile=/dev/null <Win_Host_IP> "cmd /c dir c:\\"
 

Как проще всего поиграться с разными светодиодами и кнопками, желательно без пайки?

Если хочется попробовать вживую, потрогать руками, то стоит посмотреть в сторону бредбоарда или так называемой беспаечной макетной платы. Они бывают разных типов и размеров, но по сути похожи друг на друга. Внутри у них разводка в виде металлических пластин, которые можно соединять между собой проводками или скобами. Все это можно купить в том же deal extreme или практически в любом магазине электроники. Подобные платы позволяют, как конструктор, собирать различные схемы, пробовать компоненты между собой перед тем, как их спаивать в уже готовые устройства. Также можно поэкспериментировать с компонентами виртуально, для этого будет достаточно скачать программу-симулятор типа Proteus, где уже есть куча различных компонентов, включая микроконтроллеры, из которых можно собрать практически что угодно.

Бредбоард с компонентами
Бредбоард с компонентами
 

Есть ли какой-то репозиторий по эксплоитам?

О да, вот, держи. Это официальный репозиторий небезызвестного ресурса exploit-db. База постоянно пополняется, есть утилиты для удобного поиска нужных эксплоитов.

База эксплоитов
База эксплоитов
 

Сетевая карта упорно получает адрес 169.254.5.6. Что делать?

Подобная трабла возникает тогда, когда есть проблемы получения сетевого адреса от DHCP-сервера. Вариантов того, что здесь неисправно, — масса: начиная от не воткнутого в сетевую карту сетевого кабеля, и, кстати, слетевших дров для нее, заканчивая проблемами с самим сервером и косяками на маршруте. Стоит где-нибудь в подвале старенький маршрутизатор, о котором уже никто и не помнит, а он чудит периодически, всякое бывает. Главное — определить размах проблемы. Начать можно с самого компьютера: если проблема именно в нем, то копать не так уж и много — драйверы да сама железка. А вот если это где-то, то тут уже нужно представлять схему устройства локальной сети или рисовать, чтобы проще было вычислить возможное место проблемы. Главное — пробовать и методично проверять и отсеивать версии.

 

Как можно получить список драйверов на Win-машине?

Для этого можно открыть Ddevice manager, в котором можно найти информацию по всем драйверам, установленным на машине. Там же их можно переустановить, удалить или откатить на предыдущую версию.

 

OST/PST-файлы — что это такое и зачем они нужны?

Эти оба формата файлов принадлежат программе Outlook. В PST содержатся файлы сообщений, которые хранятся на локальном компьютере, а в OST хранятся автономные данные, такие как календарь, которые потом доступны пользователю без интернета.

 

Как можно сделать печатную плату, если с ЛУТ не хочется связываться?

Для этого можно воспользоваться так называемой карандашной техникой. Берем корректор-карандаш (в простонародье замазка) и рисуем дорожки. Конечно же, точность и эстетика будут хромать на обе ноги, но если нужно сделать что-то «на коленке» для своего использования, то почему бы и нет. Также для этих целей подойдет специальный маркер, которым можно рисовать на дисках. Но не все маркеры полезны, многие весьма успешно вытравляются, и на выходе получается загубленная заготовка. Маркеры, которые проверены и точно выполняют свою функцию, — это серия Edding. Подойдут следующие: Edding 792, Edding 791, Edding 780. Найти их можно в любых магазинах электроники или в канцелярских магазинах.

Edding 792
Edding 792
 

Как проверить целостность БД MS SQL?

Для этого существует специальная встроенная утилита DBCC CHECHDB, которая позволяет обнаружить поврежденные страницы, но только при чтении с диска. Обычно данные считываются с диска только при обращении к ним пользователей или приложений. Но лучше предотвратить получение пользователями сообщений об ошибках, заранее выявляя повреждения и исправляя их с использованием резервных копий. Команда DBCC CHECHDB заставляет SQL Server прочитать с диска все страницы и проверить их целостность. Общий синтаксис этой команды таков:

DBCC CHECDB [{ 'имя_базы_данных' | database_id | 0
[ , NOINDEX | { REPAIR_ALLOW_DATA_LOSS | REPAIR_FAST | REPAIR_REBUILD } ] )]
[ WITH {[ ALL_ERRORMSGS ] [ , [ NO_INFOMSGS ] ] [ , [ TABLOCK ] ]
[ , [ ESTIMATEONLY ] ] [ , [ PHYSICAL_ONLY ] ] | [ , [ DATA_PURITY ] ] } ]

Выполняя эту команду, SQL Server делает следующее:

  1. Проверяет выделение страниц в базе данных.
  2. Проверяет целостность структуры всех таблиц и индексированных представлений.
  3. Пересчитывает контрольные суммы всех страниц данных и индексов и сравнивает их с хранящимися контрольными суммами.
  4. Проверяет содержимое всех индексированных представлений.
  5. Проверяет каталог базы данных.
  6. В базе данных проверяет данные компонента Srvice Broker.
    При этом сообщается обо всех обнаруженных ошибках, чтобы можно было устранить их. Если ошибка целостности найдена в индексе, его необходимо удалить и создать заново. Для исправления ошибки целостности в таблице следует восстановить ее из самой свежей резервной копии.
 

USB-хаб постоянно тупит и отваливается, можно ли с ним что-то сделать?

Такое частенько случается, когда к хабу подключено слишком много источников. Выходов не такой уж большой выбор. Для начала можно сократить количество девайсов на хаб и, соответственно, на один порт или же присмотреться к хабам с дополнительным источником питания. Это, пожалуй, самый лучший способ. При этом экономить на хабе я бы не стал, ведь в случае короткого замыкания или перегрузки ценой собственной жизни он может спасти порт дорогостоящего компьютера.

 

Что бы почитать и посмотреть по MS SQL Server для изучения?

За материалами я рекомендую обратиться к официальным руководствам и видео. Также будут хороши учебники для подготовки к сертификационным экзаменам по MS SQL Server, они есть и на русском, и на английском. Как сам понимаешь, английский вариант более удобен и хорош как для сдачи экзаменов, так и для усвоения знаний.

 

Как в Linux через find найти файлы в папках, в названии которых только два символа?

Для этого будет достаточно такой команды:

 find . -type f -name "??.png"

Как видишь, все довольно просто, главное — больше экспериментировать и комбинировать различные варианты, которые описаны в официальном мане.

Как работает аудит в Windows?

Подсистема аудита в Windows работает в связке со службой журнала регистрации событий, генерируя заслуживающие доверия события безопасности, и с компонентами, принимающими решения, связанные с безопасностью. Эти компоненты (часто их называют мониторами безопасности) сформированы таким образом, что при принятии решения по безопасности или выполнении какого-либо действия, относящегося к сфере безопасности, оповещают подсистему аудита и передают ей данные об этих действиях. Система аудита форматирует записи о событиях, представляя данные в целостном виде, и отбрасывает те из сгенерированных событий, которые не соответствуют политике аудита. Остальные события отправляются службе журнала регистрации событий для регистрации в журнале.

Подсистема аудита Windows реализована в процессе распорядителя локальной безопасности, который в списке процессов Windows фигурирует как lsass.exe, а также в ядре Windows. В LSA содержатся компоненты пользовательского режима Windows, обеспечивающие принудительное выполнение политики безопасности и исполнение других функций безопасности, таких как аутентификация. Компоненты пакетов аутентификации хранятся в LSA и направляют события напрямую в подсистему аудита. Компоненты же, работающие в пользовательском режиме за пределами LSA, такие как доменные службы AD и приложения, использующие программные интерфейсы аудита Windows, направляют события в LSA через протокол удаленного вызова процедур RPC. Ядро включает в себя многофункциональный интерфейс аудита для использования компонентами ядра, такими как драйверы, а также диспетчер объектов, отвечающий за генерирование большинства событий доступа к объекту. События поступают в службу журнала регистрации либо с помощью модуля отслеживания событий (ETW) ядра, либо через RPC.

Большинство генерируемых в ядре событий поступает прямо в ETW, а события, требующие сложного форматирования, направляются в LSA для форматирования. LSA направляет большинство событий в журнал регистрации через ETW, используя канал RPC.

Аудит в Windows
Аудит в Windows

Какие веб-сканеры посоветуешь для изучения?

Количество сканеров, представленных на рынке сегодня, просто огромно. Среди них как и узкоспециализированные под какую-то одну багу или технологии, так и серьезные монстры, способные найти уязвимость, раскрутить ее и вытащить необходимые данные. Есть как платные, так и распространяемые под свободными лицензиями. И те и другие имеют право на жизнь, и кто из них лучше — это еще вопрос. Любой сканер, к сожалению (а может, и к счастью), неспособен реально оценить положение вещей, он не может с точностью до байта сказать, что в этом участке кода спрятана уязвимость. Именно поэтому многие не сильно доверяют сканерам или же делают ими лишь поверхностный анализ.

  1. Metasploit — думаю, что этот монстр не нуждается в представлении. Включен практически во все хакерские дистрибутивы, а в широко известном Kali так вообще входит в топ-10 самого распространенного софта, и, поверь, не просто так. Огромная база эксплоитов и возможностей поистине внушает уважение. Этим инструментом можно хакать практически что угодно. Имеет консольный интерфейс, но при желании легко прикручивается GUI, который делает Metasploit еще более привлекательным для использования.
  2. W3af — весьма интересный сканер с кучей фишек, написан на питоне и позволяет допилить или переписать любой нужный тебе плагин. Изначально плагинов довольно много, и они настроены по умолчанию. В зависимости от их параметров сканер будет работать лучше или хуже. После окончания сканирования есть возможность проэксплуатировать найденные баги. Также есть консольный интерфейс и GUI. Довольно мощная документация и поддержка сообщества.
  3. Acunetix. Тоже весьма интересный сканер, работает на платформе Win, платный, но сам знаешь где можно найти старенькие крякнутые версии. Им очень удобно сканить целые диапазоны айпишников или доменов. Рисует красивые отчеты. С каждой новой версией дополняется различными приятными фичами и возможностями. Имеет весьма красивый интерфейс, а разобраться с ним проще простого. К сожалению, имеет слишком большое количество ложных срабатываний. Но для общей картины в массах весьма хорош, дабы пройтись по топ-10 OWASP.
  4. Burp Suite на самом деле не совсем сканер, хотя, конечно, в платной версии это есть и весьма успешно работает. Но чаще всего этот инструмент используется для модификации запросов к серверу или изучения ответов сервера. Есть разные расширения, как тот же спайдер, который найдет все страницы ресурса или поможет декодировать какую-то едкую строку в нужную кодировку. Также в Сети разбросаны различные самописные плагины, не говоря уже о том, что можно написать и самому. Словом, инструмент, практически незаменимый в повседневной работе.

Ставить ли кастомную прошивку на телефон или нет?

Pros

Конечно же, да! Все плюсы просто не перечислить, начиная от того, что более экономно расходуется батарея, так еще до кучи можно поставить свое ядро, тем самым значительно оптимизировав обработку данных, можно встраивать свои скрипты, которые также ускоряют девайс и увеличивают удобство. Можно наконец-то удалить все ненужные программы, любовно установленные вендором, и тем самым получить значительно больше памяти под свои нужды.

Cons

B. Установка кастомной прошивки несет в себе использование прав root на смартфоне. Хорошо это или нет, сложно сказать, но если сильно абстрагироваться, то, получается, дверь в дом просто становится открытой для всех желающих. Одно неправильное действие, и телефон превращается в кирпич, и нужно будет все кропотливо восстанавливать. Плюс кастомные прошивки не так сильно обкатываются, как заводские, и баги там не редкость — порой весьма неприятные, как, например, отсутствие поддержки фронтальной фотокамеры.

Оставить мнение