Мониторим ФС

Автор: Sergi Alvarez
URL: https://github.com/nowsecure/fsmon
Система: iOS / OS X / Android / Firefox OS / Linux

При исследовании любой программы среди прочего очень важно знать, как программа работает с файлами: какие и когда файлы создает, что пишет в файлы и так далее. Для ОС Windows в этом плане незаменимы инструменты типа procmon или API Monitor (да и функциональность их шире, чем мониторинг операций с файлами).

Для мобильных ОС, таких как iOS, Android и Firefox OS, подобного инструмента долгое время не было, и нужно было писать собственные инструменты на основе Xposed, Cydia Substrate или Frida.

Fsmon — это инструмент, извлекающий события, связанные с файловой системой, из определенной директории и представляющий их в консоли с цветовым оформлением или в формате JSON в файле. Программа сразу из коробки позволяет фильтровать события от определенных программ на основании имени или PID. Уникальность данного инструмента, как уже говорилось, в поддержке мобильных ОС, помимо десктопных OS X, Linux. Так, для Android поддерживаются архитектуры x86, ARM, ARM64, MIPS.

Параметры команды достаточно просты:

$ ./fsmon -h
Usage: ./fsmon [-jc] [-a sec] [-b dir] [-p pid] [-P proc] [path]
 -a [sec]  stop monitoring after N seconds (alarm)
 -b [dir]  backup files to DIR folder (EXPERIMENTAL)
 -c        follow children of -p PID
 -h        show this help
 -j        output in JSON format
 -f        show only filename (no path)
 -p [pid]  only show events from this pid
 -P [proc] events only from process name
 -v        show version
 [path]    only get events from this path

Для установки потребуется предварительно скомпилировать инструмент из исходных кодов, детали смотри на странице проекта.

 

Pentestly

Автор: Cory Duplantis
URL: https://github.com/praetorian-inc/pentestly
Система: Windows

Pentestly — это комбинация Python-инструментов для тестов на проникновение. При этом сам инструмент написан на PowerShell :).

Особенности:

  • импорт Nmap XML;
  • проверка SMB-аутентификации:
    • индивидуальные аутентификационные данные,
    • файлы с аутентификационными данными,
    • без аутентификационных данных,
    • NTLM hash;
  • проверка привилегий локального администратора для успешной SMB-аутентификации;
  • идентификация SMB-шар, доступных на чтение с валидными аутентификационными данными;
  • хранение аккаунтов администраторов Domain/Enterprise;
  • определение расположения процессов Domain Admin;
  • определение систем, входящих в Domain Admins;
  • выполнение PowerShell-команд в памяти и получение результата;
  • выполнение Mimikatz для получения паролей в открытом виде из памяти (Invoke-Mimikatz.ps1);
  • получение командного шелла (Powercat);
  • получение сессии Meterpreter (Invoke-Shellcode.ps1).

В основе проекта лежат инструменты: recon-ng, wmiexec.py, smbmap.py, Invoke-Mimikatz.ps1, powercat.ps1, Invoke-Shellcode.ps1, CrackMapExec.

 

ROP для обхода AV

Авторы: Giorgos Poulios, Christoforos Ntantogian, Christos Xenakis

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Как сделать игру. Выбираем движок и пишем клон тех самых «танчиков»

С каждым днем игры становятся все сложнее и навороченнее. Быть инди, а точнее соло-разрабо…