Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Данил Бородавкин. Приглядываем за Windows

KrasCTF
November 18, 2017
Technology
0
89

Данил Бородавкин. Приглядываем за Windows

KrasCTF Meetup 2017, Красноярск

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
krasctf
0
340
Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система
krasctf
0
72
Александр Менщиков. Как мы делали Pentest CTF
krasctf
2
84
Павел Шипулин. KrasCTF: как передать наследство?
krasctf
0
76

Other Decks in Technology

See All in Technology
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
290
Janus
bkuhlmann
1
490
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.6k
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
230
SPI原点回帰論:事業課題とFour Keysの結節点を見出す実践的ソフトウェアプロセス改善 / DevOpsDays Tokyo 2024
visional_engineering_and_design
4
1.9k
マルチアカウント環境への発見的統制の導入
ch1aki
1
1.3k
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
180
MapLibreとAmazon Location Service
dayjournal
1
150
ユーザーストーリーのレビューを自動化したみたの
bun913
1
410
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
160
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2k
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
200

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
Automating Front-end Workflow
addyosmani
1356
200k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Building Applications with DynamoDB
mza
88
5.6k
Optimizing for Happiness
mojombo
370
69k
Code Reviewing Like a Champion
maltzj
514
39k
The Mythical Team-Month
searls
216
42k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Documentation Writing (for coders)
carmenintech
60
3.9k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3k
Practical Orchestrator
shlominoach
182
9.7k

Transcript

  1. ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин [email protected] АО «Информационные спутниковые

    системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ

  2. О чем поговорим •  Говорить будем о выявлении работы вредоносного

    ПО c использованием sysmon •  В сущности, никакой rocket-science •  Популярные инструменты, много информации в интернете •  Тем не менее, речь о практическом опыте и некоторых собственных поделках •  Доклад рассчитан на широкую аудиторию, 2

  3. Тренды 2017 3

  4. Тренды 2017 4

  5. Тренды 2017 5

  6. Тренды 2017 6

  7. Сигнатурная классика Знаем что искать Ищем 7

  8. Сигнатурная классика Знаем что искать Ищем 8 Не всегда работает!

  9. Поведенческий анализ Знаем вектор атаки Описываем его в терминах системных

    событий Мониторим 9

  10. Инструменты 10

  11. Инструменты 11

  12. Инструменты 12

  13. Инструменты 13

  14. Практика •  Скоро сказка сказывается, да не скоро дело делается

    14

  15. Практика 15

  16. Практика Для удобства мониторинга сделали небольшую собственную поделку: •  собираем

    данные о всех уникальных запускавшихся исполняемых файлах; •  прокидываем хэши на Вирустотал; •  анализируем пути, откуда запускалось; •  с эталонной машины берем «хорошие» хэши, чтобы их откинуть (еще не прикрутили); Как итог, имеем ранжированный список, с которым можно работать. 16

  17. Практика 17

  18. Практика 18

  19. Практика 19

  20. Практика 20

  21. Практика 21

  22. Практика 22

  23. Практика Понравились наши поделки – посмотрите доклад с PHDays, там

    есть еще. J https://www.slideshare.net/phdays/apt-76552281 23

  24. FROM SIBERIA WITH LOVE

  25. ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин [email protected] АО «Информационные спутниковые

    системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ