🔐 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

#Windows #AV #Пентест

👩‍💻 Уроки форензики. Большой гид по артефактам Windows

• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:

• Typical Forensic investigation flow.

• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.

• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.

• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.

• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.

#Форензика

🎉 15 лет назад появилась Windows 7.

• Кстати, завтра своё день рождение отмечает Windows 7. Именно 22 октября 2009 года эта ОС появилась на свет и до сих пор считается одной из самых надежных версий Windows, которая работает на миллионах компьютеров до сих пор.

• Еще на этапе бета-тестирования стало очевидно, что новая редакция Windows станет прямой наследницей Vista: отличий от нее в первых публичных бетах было немного. Поначалу разработчики даже не удалили из системы боковую панель: из существенных модификаций можно было заметить разве что смену ядра на версию 6.1, и то, что разработчики полностью выпилили классическое представление Главного меню, неизменно присутствовавшее в составе ОС еще со времен Windows 95.

• В Windows 7 milestone 2 видимых изменений тоже оказалось относительно немного: все основные новшества прятались «под капотом». Бета-тестеры заметили, что кнопка «свернуть все окна» перекочевала в правую часть Панели задач, а также то, что в эту сборку впервые был интегрирован Windows PowerShell в качестве компонента системы. Незначительные косметические изменения коснулись Проводника, а Главное меню обрело привычный пользователям Windows 7 вид.

• На этапе Milestone 3 (а именно, в сборке 6748) разработчики наконец-то убрали с Рабочего стола ненужную боковую панель. Система стала понемногу обретать черты окончательной версии, но до финишной ленточки было еще очень далеко — около года. «Супербар» в Windows 7 Milestone 3 уже был включен по умолчанию, при этом пользователи, что называется, «распробовали» новинку: окна сворачиваются в «Супербар» в виде квадратной кнопки, и, следовательно, занимают значительно меньше места по сравнению с прямоугольными кнопками в Vista. При этом появившаяся в Windows 7 группировка задач позволяет сэкономить еще больше пространства при открытии нескольких окон одного приложения (в предыдущих сборках количество открытых окон демонстрировалось цифрой, в Milestone 3 появились эскизы).

• Основное приложение Windows — файловый менеджер Проводник — тоже изрядно переработали. Самым удобным и простым в использовании Проводник был в Windows 2000: слева древовидная структура диска, справа – содержимое текущей папки, сверху – кнопки управления файловыми объектами и командное меню. В Windows Vista разработчики удалили в Проводнике возможность навигации при помощи адресной строки, а панель древовидной структуры файловых объектов сделали так, что полностью просмотреть весь список стало невозможным, потому что он не умещается в отведенное ему пространство. Ну, а в Проводнике Windows 7 исчезли кнопки инструментальной панели и командная панель, содержащая меню «Файл», «Вид» и т. д.

• Официальная бета-версия Windows 7 выглядела в целом так же, как последовавший меньше года спустя релиз. Здесь разработчики добавляли только новые функциональные возможности: режим восстановления системы в случае аварийной загрузки, был внесен ряд незначительных изменений в интерфейс стандартных приложений.

• Вместо нескольких кнопок выключения в Главном меню появилась одна стандартная. По умолчанию ей назначена функция «Shut down» (выключение компьютера), но по желанию пользователя эта функция может быть сменена на «Log off», «Restart», «Switch User» или «Hibernate», в зависимости от того, какой режим применяется в системе чаще. Windows PowerShell в бета-версии «семерки» заменили на PowerShell 2.0.

• Незадолго до публикации RTM — окончательной версии для сборщиков компьютеров — Microsoft выкатила Release Candidate. Эта сборка Windows 7 уже обрела окончательный вид. Финальный релиз Windows 7 поступил в продажу 22 октября 2009 года. Сначала пользователи приняли систему скептически: еще были свежи воспоминания о вышедшей за два года не слишком удачной Windows Vista. Но вскоре стало понятно, что Windows 7 — это значительный шаг вперед: система оказалась быстрой, стабильной и поддерживала огромный арсенал современного оборудования. Несмотря на то, что с тех пор на свет появилось еще четыре поколения Windows, «семерку» до сих пор не торопятся списывать в утиль.

#Windows

👣 Форензика: Ваш цифровой след

• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:

➡ Читать статью [17 min].

#Форензика

🔎 Форензика.

• Любая наука склонна делиться на более мелкие темы. Давайте прикинем, на какие классификации делится форензика, а в самом конце поста Вы найдете ссылки на два полезных репозитория, которые содержат в себе учебный материал для изучения каждого направления:

1⃣ Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее;

2⃣ Network forensics — как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное;

3⃣ Forensic data analysis — посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.

4⃣Mobile device forensics — занимается всем, что касается особенностей извлечения данных из Android и iOS.

5⃣ Hardware forensic — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

• Для изучения данной науки я предлагаю обратить внимание на несколько репозиториев, в которых собраны инструменты, книги, руководства и другой полезный материал:

- Adversary Emulation;
- All-In-One Tools;
- Books;
- Communities;
- Disk Image Creation Tools;
- Evidence Collection;
- Incident Management;
- Knowledge Bases;
- Linux Distributions;
- Linux Evidence Collection;
- Log Analysis Tools;
- Memory Analysis Tools;
- Memory Imaging Tools;
- OSX Evidence Collection;
- Other Lists;
- Other Tools;
- Playbooks;
- Process Dump Tools;
- Sandboxing/Reversing Tools;
- Scanner Tools;
- Timeline Tools;
- Videos;
- Windows Evidence Collection.

➡ https://github.com/mikeroyal/Digital-Forensics-Guide
➡ https://github.com/Correia-jpv/fucking-awesome-incident-response

#Форензика

👨‍💻 Attack methods for Windows Active Directory.

• Этот репозиторий содержит информацию о методах, которые используются для атак Windows Active Directory. Материал постоянно обновляется и поддерживается автором в актуальном состоянии. Обязательно добавляйте в закладки и используйте на практике:

• Pre-requisites;
• PowerShell AMSI Bypass;
• PowerShell Bypass Execution Policy;
• Evasion and obfuscation with PowerShellArmoury;
• Windows Defender;
• Remote Desktop;
- Enable Remote Desktop;
- Login with remote desktop;
- Login with remote desktop with folder sharing;
• Enumeration;
- Users Enumeration;
- Domain Admins Enumeration;
- Computers Enumeration;
- Groups and Members Enumeration;
- Shares Enumeration;
- OUI and GPO Enumeration;
- ACLs Enumeration;
- Domain Trust Mapping;
- Domain Forest Enumeration;
- User Hunting;
- Enumeration with BloodHound;
- Gui-graph Queries;
- Console Queries;
• Local Privilege Escalation;
• Lateral Movement;
• Persistence;
- Golden Ticket;
- Silver Ticket;
- Skeleton Key;
- DCSync;
• Privilege Escalation;
- Kerberoast;
- Targeted Kerberoasting AS REPs;
- Targeted Kerberoasting Set SPN;
- Kerberos Delegation;
- Unconstrained Delegation;
- Printer Bug;
- Constrained Delegation;
- Child to Parent using Trust Tickets;
- Child to Parent using Krbtgt Hash;
- Across Forest using Trust Tickets;
- GenericAll Abused;
• Trust Abuse MSSQL Servers;
• Forest Persistence DCShadow.

#Пентест #AD

👩‍💻 Win11Debloat.

• Очень полезный PowerShell скрипт, который поможет вырезать весь мусор и ускорить Ваш Windows. Возможности:

— Удалить все бесполезные приложения, которые замедляют ОС;
— Отключить рекламу в меню Пуск;
— Вернуть панель задач из Windows 10;
— Вырубить телеметрию и сбор данных;
— Убрать бессмысленные опции в контекстном меню;
— Вырезать Кортану, Copilot и Bing.

• Работает на Windows 11 и 10. Если какие-то изменения не подходят — их легко откатить. Забираем с GitHub:

➡️ https://github.com/Raphire/Win11Debloat

#PowerShell #Windows