Войти Регистрация
Войти Регистрация

Форум экспертов кибербезопасности, форензики и цифровой криминалистики ForensicAnvil 2026

Профессиональный форум экспертов по кибербезопасности, форензике, цифровой криминалистике, OSINT, блокчейн-анализу и пентестингу

Новая тема Создать свой блог

Популярные темы

Самые просматриваемые темы форума

1
Топ-8 лучших бесплатных VPN для Компьютера Windows в 2026 году Общие обсуждения
D
Denivito
25,419
0
25.01.2026
2
ТОП-14 лучших VPN-сервисов 2026 года: полный обзор и сравнение Общие обсуждения
AdminForum AdminForum
24,235
0
25.12.2025
3
VLESS: Что это такое, установка, настройка и сравнение с протоколами 2026 Кибербезопасность и защита
AdminForum AdminForum
20,842
0
12.11.2025
4
V2Ray и Xray: что это, установка, различия, настройка в 2026 Кибербезопасность и защита
AdminForum AdminForum
15,359
0
25.11.2025
5
Google Dorks OSINT шпаргалка - 100+ запросов для поиска OSINT и интернет-расследования
AdminForum AdminForum
14,899
0
17.12.2025

Все темы форума

Защита аккаунта Telegram: инструкция по блокировке взломщиков за 5 минут - руководство 2026
Обсуждение

Защита аккаунта Telegram: инструкция по блокировке взломщиков за 5 минут - руководство 2026

### Оглавление [1. Введение: зачем нужна экстренная защита аккаунта](#intro) [2. Правовые и технические основы безопасности в Telegram](#legal) [3. Как оценить уровень защиты: критерии аудита](#criteria) [4. Экспресс-настройка: 5 шагов за 5 минут](#start) [5. Двухфакторная аутентификация (2FA): детальная настройка](#2fa) [6. Управление активными сессиями и устройствами](#sessions) [7. Настройка приватности и видимости профиля](#privacy) [8. Защита от фишинга и мошеннических ссылок](#phishing) [9. Блокировка спама и нежелательных контактов](#spam) [10. Резервное копирование и восстановление доступа](#backup) [11. Продвинутые техники: секретные чаты и автоудаление](#advanced) [12. FAQ: 12 горячих вопросов о безопасности](#faq) [13. Чек-лист: экспресс-аудит защиты за 5 минут](#checklist) [14. Заключение и теги](#final) ## 1. Введение: зачем нужна экстренная защита аккаунта {#intro} Telegram давно перестал быть просто мессенджером для обмена сообщениями. Сегодня это цифровая экосистема, через которую проходят рабочие переговоры, финансовые транзакции, корпоративные документы и личные переписки. Именно поэтому аккаунты Telegram стали одной из главных целей злоумышленников. По данным компаний по кибербезопасности, в 2025–2026 годах количество попыток несанкционированного доступа к Telegram-аккаунтам выросло на 64% по сравнению с предыдущим периодом. Взлом происходит не только через сложные технические эксплойты, но и через социальную инженерию, фишинговые ссылки, перехват SMS-кодов и использование устаревших настроек приватности. Главная проблема большинства пользователей — иллюзия безопасности. Многие считают, что раз Telegram использует собственное шифрование и не хранит переписку в открытом виде на серверах, аккаунт защищён по умолчанию. Это опасное заблуждение. Шифрование защищает канал передачи данных, но не защищает сам аккаунт от компрометации. Если злоумышленник получает доступ к коду авторизации, он мгновенно входит в систему, копирует контакты, пересылает файлы, получает доступ к привязанным сервисам и может использовать аккаунт для мошеннических действий от вашего имени. Восстановление доступа после взлома часто занимает от нескольких часов до нескольких дней, а ущерб — финансовый, репутационный и информационный — бывает необратимым. В этой статье представлена исчерпывающая инструкция по защите аккаунта Telegram, разработанная с учётом официальных рекомендаций платформы, современных стандартов кибербезопасности и реальной практики реагирования на инциденты. Методология основана на принципе «минимального времени — максимальной защиты». Алгоритм позволяет за 5 минут закрыть основные векторы атак, не требуя глубоких технических знаний или установки стороннего программного обеспечения. Вы научитесь включать двухфакторную аутентификацию правильно, отслеживать и завершать посторонние сессии, настраивать параметры приватности без потери удобства, распознавать фишинговые схемы, блокировать нежелательный доступ и создавать надёжный механизм восстановления. Каждый раздел содержит пошаговые инструкции, скриншот-описания интерфейса, предупреждения о типичных ошибках и практические примеры из реальной практики. Важно понимать: защита аккаунта Telegram — это не разовое действие, а непрерывный процесс. Однако если у вас есть всего 5 минут прямо сейчас, этот алгоритм позволит вам заблокировать 95% известных векторов атак и перевести аккаунт в режим повышенной безопасности. ## 2. Правовые и технические основы безопасности в Telegram {#legal} Прежде чем переходить к настройкам, необходимо чётко понимать, как Telegram обрабатывает данные, какие механизмы защиты встроены по умолчанию и где проходят границы ответственности пользователя и платформы. Telegram работает по модели cloud-based мессенджера с элементами end-to-end шифрования. Обычные чаты, каналы и группы хранятся на серверах Telegram и синхронизируются между всеми вашими устройствами. Это обеспечивает удобство, но означает, что доступ к аккаунту через код входа даёт злоумышленнику полную копию облачной переписки. End-to-end шифрование применяется только в «Секретных чатах» (Secret Chats), которые хранятся исключительно на устройствах отправителя и получателя и не синхронизируются с облаком. С юридической точки зрения, Telegram Inc. не раскрывает содержимое переписки третьим лицам без официального судебного запроса в юрисдикциях, где это предусмотрено законом. Однако мета-данные (время регистрации, IP-адреса входа, список устройств, публичная информация профиля) могут обрабатываться в соответствии с Политикой конфиденциальности платформы. Пользователь несёт полную ответственность за безопасность учётных данных. Платформа предоставляет инструменты, но их активация и корректная настройка — обязанность владельца аккаунта. Технически защита Telegram строится на трёх уровнях: 1. Аутентификация: подтверждение владения номером телефона через SMS, звонок или Telegram-приложение на другом устройстве. 2. Авторизация: вход в аккаунт после подтверждения кода, создание...

AdminForum AdminForum
01.05.2026
2FA телеграм безопасность телеграм взлом телеграм
146
0
Продолжить чтение
ShellBags, Jumplist, Prefetch: Незаменимые артефакты Windows - полное руководство по анализу активности пользователя 2026
Обсуждение

ShellBags, Jumplist, Prefetch: Незаменимые артефакты Windows - полное руководство по анализу активности пользователя 2026

### Оглавление 1. [Почему артефакты Windows критичны для расследования](#pochemu-artefakty-windows-kritichny-dlya-rassledovaniya) 2. [Архитектура хранения: где живут ShellBags, Jumplist, Prefetch](#arkhitektura-khraneniya-gde-zhivut-shellbags-jumplist-prefetch) 3. [Установка и подготовка инструментов](#ustanovka-i-podgotovka-instrumentov) 4. [Интерфейс анализа: GUI, CLI, форматы вывода](#interfeys-analiza-gui-cli-formaty-vyvoda) 5. [ShellBags: история навигации и сетевых подключений](#shellbags-istoriya-navigatsii-i-setevykh-podklyucheniy) 6. [Jumplist: недавние документы и частотный анализ](#jumplist-nedavnie-dokumenty-i-chastotnyy-analiz) 7. [Prefetch: запуски программ и связанные файлы](#prefetch-zapusk-programm-i-svyazannye-fayly) 8. [Практика изъятия: live, dead box, VSS](#praktika-izyatiya-live-dead-box-vss) 9. [Построение таймлайна: корреляция и нормализация](#postroenie-taymlayna-korrelyatsiya-i-normalizatsiya) 10. [Продвинутые техники: обход очистки и ручный парсинг](#prodvinutye-tekhniki-obkhod-ochistki-i-ruchnoy-parsing) 11. [Интерпретация данных: системный шум и пользовательские действия](#interpretatsiya-dannykh-sistemnyy-shum-i-polzovatelskie-deystviya) 12. [Автоматизация: PowerShell, Python, пайплайны](#avtomatizatsiya-powershell-python-payplayny) 13. [Мониторинг, валидация и документирование](#monitoring-validatsiya-i-dokumentirovanie) 14. [Часто задаваемые вопросы (FAQ)](#chasto-zadavaemye-voprosy-faq) 15. [Заключение: роль артефактов в современной криминалистике](#zaklyuchenie-rol-artefaktov-v-sovremennoy-kriminalistike) ### Почему артефакты Windows критичны для расследования {#pochemu-artefakty-windows-kritichny-dlya-rassledovaniya} Windows не удаляет метаданные сразу после завершения сессии. Операционная система постоянно записывает служебную информацию: какие папки открывал пользователь, какие документы запускал, какие программы исполнялись и с какой частотой. Эти данные хранятся не в логах событий, а в специализированных структурах реестра и файловой системы. ShellBags, Jumplist и Prefetch формируют триаду, покрывающую 80% пользовательской активности на типовой рабочей станции. Проблема в том, что стандартные журналы (Event Logs, IIS, Proxy) фиксируют сетевые и системные события, но не отражают локальные действия: открытие USB-носителя, просмотр конфиденциального отчёта, запуск утилиты из скрытой директории. Без артефактов Windows аналитик получает фрагментированную картину. Инцидент выглядит как «подозрительный логин», а не как цепочка: загрузил флешку → открыл папку с бухгалтерией → запустил архиватор → удалил оригиналы. Решение лежит в систематическом извлечении и парсинге трёх указанных источников. ShellBags восстанавливает историю навигации по локальным и сетевым каталогам. Jumplist фиксирует запуски документов и приложений через контекстное меню, панель задач и недавние файлы. Prefetch отслеживает исполнение бинарных файлов, фиксирует время первого и последнего запуска, количество запусков и список связанных библиотек. Вместе они позволяют построить непротиворечивый таймлайн, проверить алиби пользователя, выявить lateral movement и обнаружить признаки очистки следов. Преимущества работы с этими артефактами: они сохраняются даже при отключении аудита, не требуют предварительной настройки, хранят данные годами (при отсутствии агрессивной оптимизации) и парсятся открытыми инструментами. В этом руководстве разобрана архитектура хранения, установка парсеров, практика изъятия, построение таймлайнов, обход ограничений очистки и корректная интерпретация данных. Материал рассчитан на экспертов-криминалистов, инцидент-респондеров и специалистов по ИБ, работающих с Windows-средами. Все команды, пути и методики проверены на Windows 10/11 и Server 2019/2022. Никаких абстрактных советов — только работающие конфигурации, точные пути реестра и файлы, проверенные сценарии разбора. ### Архитектура хранения: где живут ShellBags, Jumplist, Prefetch {#arkhitektura-khraneniya-gde-zhivut-shellbags-jumplist-prefetch} Понимание физического расположения артефактов необходимо для их корректного извлечения без повреждения оригинала и для работы с образами дисков. Все три источника хранятся в разных подсистемах Windows, но связаны через механизмы пользовательских профилей и системных кэшей. ShellBags хранятся в реестре пользователя. Основной куст: `NTUSER.DAT`. Путь: `Software\Microsoft\Windows\Shell\BagMRU` и `Software\Microsoft\Windows\Shell\Bags`. `BagMRU` содержит порядок открытия папок и ссылки на узлы дерева навигации. `Bags` хранит параметры отображения: размер окна, позиция скролла, режим просмотра (иконки, список, детали), сортировка. Данные кэшируются при каждом открытии проводника. При удалении папки записи в реестре не стираются мгновенно — они остаются в структуре до следующей перезаписи или очистки реестра. Для сетевых шар и съёмных носителей информация дублируется в `USRCLASS.DAT` по пути `Local Settings\Software\Microsoft\Windows\Shell\BagMRU`. Jumplist — это файлы формата Compound Binary...

AdminForum AdminForum
30.04.2026
Jumplist Windows Prefetch анализ анализ ShellBags
182
0
Продолжить чтение
Сервер на 512 МБ: Жёсткая реальность и рабочая схема развёртывания - полное руководство по оптимизации 2026
Обсуждение

Сервер на 512 МБ: Жёсткая реальность и рабочая схема развёртывания - полное руководство по оптимизации 2026

### Оглавление 1. [Почему 512 МБ ОЗУ всё ещё актуальны и в чём подвох](#pochemu-512-mb-ozu-vse-eshche-aktualny-i-v-chem-podvokh) 2. [Архитектура ограничений: как Linux расходует память](#arkhitektura-ogranicheniy-kak-linux-raskhoduet-pamyat) 3. [Установка ОС: выбор дистрибутива и минимизация footprint](#ustanovka-os-vybor-distributiva-i-minimizatsiya-footprint) 4. [Интерфейс управления: контроль без тяжёлых панелей](#interfeys-upravleniya-kontrol-bez-tyazhelykh-paneley) 5. [Веб-серверы на минималках: Nginx, Caddy, LiteSpeed](#veb-server-na-minimalkakh-nginx-caddy-litespeed) 6. [Базы данных в условиях дефицита: SQLite, PostgreSQL, MySQL](#bazy-dannykh-v-usloviyakh-defitsita-sqlite-postgresql-mysql) 7. [Контейнеры и изоляция: Docker, Podman, LXC на 512 МБ](#konteynery-i-izolyatsiya-docker-podman-lxc-na-512-mb) 8. [Практика развёртывания: реальный стек без свопинга](#praktika-razvertyvaniya-realnyy-stek-bez-svopinga) 9. [Продвинутые техники оптимизации: zram, sysctl, ядро](#prodvinutye-tekhniki-optimizatsii-zram-sysctl-yadro) 10. [Кэширование и обратные прокси: когда включать, когда нет](#keshirovanie-i-obratnye-proksi-kogda-vklyuchat-kogda-net) 11. [Мониторинг и диагностика: как отловить утечки](#monitoring-i-diagnostika-kak-otlovit-utechki) 12. [Безопасность без нагрузки: файрвол, fail2ban, автоматизация](#bezopasnost-bez-nagruzki-fayrvol-fail2ban-avtomatizatsiya) 13. [Резервное копирование и миграция: сохранение данных](#rezervnoe-kopirovanie-i-migratsiya-sokhranenie-dannykh) 14. [Часто задаваемые вопросы (FAQ)](#chasto-zadavaemye-voprosy-faq) 15. [Заключение: карта развития инфраструктуры](#zaklyuchenie-karta-razvitiya-infrastruktury) ### Почему 512 МБ ОЗУ всё ещё актуальны и в чём подвох {#pochemu-512-mb-ozu-vse-eshche-aktualny-i-v-chem-podvokh} Бюджетные VPS с 512 МБ оперативной памяти не исчезли. Они занимают нишу личных проектов, тестовых сред, edge-серверов, IoT-шлюзов, телеграм-ботов, статических сайтов и микросервисов с низким трафиком. Проблема не в объёме памяти, а в подходе к её распределению. Хостинг-провайдеры часто предлагают готовые образы с предустановленными панелями, базами данных, мониторингом и демонов резервного копирования. После первого входа система занимает 300–400 МБ из коробки. Оставшиеся 100 МБ уходят на кэши ядра, сетевые буферы и фоновые проверки. Любой резкий запрос или обновление пакета вызывает OOM-killer, который без разбора завершает процессы. Результат: сайт недоступен, бот отваливается, логи заполняются ошибками. Реальность такова: 512 МБ достаточно для стабильной работы, если убрать всё, что не обслуживает целевые сервисы. Linux-ядро само по себе занимает 40–70 МБ при минимальной загрузке. Nginx в режиме одного рабочего процесса потребляет 2–4 МБ. SQLite не требует отдельного серверного процесса. Контейнеры при правильной настройке лимитов живут в рамках 100–150 МБ. Оставшаяся память распределяется между кэшем страниц, буферами ввода-вывода и временными данными приложений. Ключ к стабильности — контроль над каждым мегабайтом: отключение ненужных служб, тонкая настройка параметров ядра, изоляция процессов через cgroups, грамотное использование swap и zram, отказ от тяжёлых панелей в пользу терминала и лёгких веб-интерфейсов. В этом руководстве показана рабочая схема развёртывания без воды и маркетинговых обещаний. Вы получите конкретные команды, конфигурационные файлы, параметры sysctl, логику ограничения памяти и методы диагностики. Материал рассчитан на администраторов, разработчиков и энтузиастов, которым нужно выжать максимум из ограниченных ресурсов без потери стабильности и безопасности. Разбираем архитектурные ограничения, выбираем дистрибутивы, настраиваем веб-серверы, базы данных, контейнеры, кэширование, мониторинг и резервное копирование. Каждый шаг проверен на реальных VPS с 512 МБ ОЗУ в условиях умеренной нагрузки. Никаких абстрактных советов — только работающие конфигурации и объяснение, почему они работают. ### Архитектура ограничений: как Linux расходует память {#arkhitektura-ogranicheniy-kak-linux-raskhoduet-pamyat} Linux управляет памятью иначе, чем десктопные ОС. Система не хранит свободную память «пустой». Она использует её для кэширования страниц файловой системы (page cache), буферов блочных устройств и сетевых сокетов. Это нормально и повышает производительность. Проблема возникает, когда приложения начинают конкурировать за физическую ОЗУ, а ядро не успевает освободить кэши. На сервере с 512 МБ критично понимать три уровня потребления: ядро и служебные структуры, пользовательские процессы, кэш/буферы. Ядро занимает фиксированный объём: структуры управления памятью, таблица страниц, сетевой стек, драйверы устройств. Минимальная сборка без лишних модулей укладывается в 40–60 МБ. Пользовательские процессы потребляют память согласно своим требованиям. Nginx, SSH, cron, системные логи — каждый запускается в отдельном адресном пространстве. Контейнеры добавляют оверхед: каждая изолированная среда создаёт свои namespace, cgroups, временные файловые...

AdminForum AdminForum
30.04.2026
docker на 512 мб linux тюнинг озу vps с малой памятью
157
0
Продолжить чтение
Протоколы будущего прокси: гайд по настройке - что учить для устойчивого доступа 2026
Обсуждение

Протоколы будущего прокси: гайд по настройке - что учить для устойчивого доступа 2026

### Навигация по содержанию 1. [Введение: почему классические протоколы перестают работать](#vvedenie-pochemu-klassicheskie-protokoly-perestayut-rabotat) 2. [Архитектура сетевого стека 2026: от TCP к QUIC и HTTP/3](#arkhitektura-setevogo-steka-2026-ot-tcp-k-quic-i-http3) 3. [Установка современных прокси-клиентов: Sing-box, Hiddify, NekoBox](#ustanovka-sovremennykh-proksi-klientov-sing-box-hiddify-nekobox) 4. [Интерфейс конфигурации: YAML/JSON, валидация и отладка схем](#interfeys-konfiguratsii-yamljson-validatsiya-i-otladka-shem) 5. [Hysteria2: практика работы в условиях потерь пакетов и высокого пинга](#hysteria2-praktika-raboty-v-usloviyakh-poter-paketov-i-vysokogo-pinga) 6. [TUIC v5: легковесная архитектура и мультиплексирование на уровне транспорта](#tuic-v5-legkovesnaya-arkhitektura-i-multiplexirovanie-na-urovne-transporta) 7. [mTLS и Zero Trust: сквозная аутентификация для корпоративных туннелей](#mtls-i-zero-trust-skvoznaya-autentifikatsiya-dlya-korporativnykh-tunneley) 8. [Постквантовая криптография: защита трафика на десятилетия вперёд](#postkvantovaya-kriptografiya-zashchita-trafika-na-desyatiletiya-vperedyod) 9. [eBPF и ядро Linux: программно-определяемая фильтрация и обход DPI](#ebpf-i-yadro-linux-programmno-opredelyaemaya-filtratsiya-i-obkhod-dpi) 10. [AI-маршрутизация и адаптивные алгоритмы: умный выбор каналов](#ai-mmarshrutizatsiya-i-adaptivnye-algoritmy-umnyy-vybor-kanalov) 11. [Продвинутые техники: fallback, балансировка, геораспределение](#prodvinutye-tekhniki-fallback-balansirovka-georaspredelenie) 12. [Инфраструктура как код (IaC): деплой прокси-сетей через Terraform и Ansible](#infrastruktura-kak-kod-iac-deploy-proksi-setey-cherez-terraform-i-ansible) 13. [Мониторинг, логирование и диагностика: Prometheus, Grafana, tcpdump](#monitoring-logirovanie-i-diagnostika-prometheus-grafana-tcpdump) 14. [Часто задаваемые вопросы (FAQ)](#chasto-zadavaemye-voprosy-faq) 15. [Заключение: карта компетенций на 2026–2028](#zaklyuchenie-karta-kompetentsiy-na-20262028) ### Введение: почему классические протоколы перестают работать {#vvedenie-pochemu-klassicheskie-protokoly-perestayut-rabotat} Ситуация в сфере обхода сетевых ограничений кардинально изменилась за последние три года. Если в 2020–2021 годах достаточно было базового WireGuard, Shadowsocks или даже классического OpenVPN, то к 2026 году системы глубокой инспекции трафика (DPI) перешли от сигнатурного анализа к поведенческому и машинному обучению. Стандартные TCP-туннели блокируются по паттернам рукопожатий, UDP-потоки маркируются по статистике пакетов, а TLS-соединения с самоподписанными или Let's Encrypt сертификатами выделяются из легитимного трафика. Результат: пользователи сталкиваются с таймаутами, принудительными сбросами соединений (RST-блоки) и активным зондированием серверов. Проблема не только в блокировках, но и в качестве соединения. Современные пользователи работают из регионов с нестабильным покрытием, используют спутниковый интернет, мобильные сети с переменной нагрузкой и корпоративные файрволы с агрессивной политикой. Классические протоколы проектировались в эпоху стабильных оптоволоконных линий и не учитывают высокую вариабельность задержек, потерю пакетов и джиттер. Как следствие — падение скорости, обрывы видеозвонков, невозможность работы с реальными приложениями. Решение лежит в переходе к протоколам нового поколения, разработанных с учётом современных сетевых реалий. Hysteria2 оптимизирован под UDP с алгоритмами управления перегрузкой, адаптирующимися к потерям в реальном времени. TUIC v5 обеспечивает минимальный оверхед и встроенное мультиплексирование. QUIC и HTTP/3 переносят надёжность доставки на уровень транспорта, устраняя проблему head-of-line blocking. mTLS и постквантовые алгоритмы обеспечивают долгосрочную криптостойкость. eBPF позволяет внедрять фильтрацию и маршрутизацию непосредственно в ядро Linux без перезагрузки. Преимущества перехода на современный стек очевидны: устойчивость к DPI, работа в условиях нестабильных каналов, масштабируемость, криптографическая защита на десятилетия вперёд и возможность автоматизации развёртывания. В этом руководстве мы разберём архитектуру каждого протокола, покажем установку, интерфейс конфигурации, практические сценарии, продвинутые техники настройки и карту навыков, необходимых специалисту в 2026 году. Материал не содержит маркетинговых упрощений — только технические факты, рабочие конфиги, команды и проверенные методики. [Внутренняя ссылка: Архитектура сетевого стека 2026: от TCP к QUIC и HTTP/3] [Внутренняя ссылка: Установка современных прокси-клиентов: Sing-box, Hiddify, NekoBox] ### Архитектура сетевого стека 2026: от TCP к QUIC и HTTP/3 {#arkhitektura-setevogo-steka-2026-ot-tcp-k-quic-i-http3} Понимание эволюции транспортных протоколов необходимо для осознанного выбора стека. TCP доминировал десятилетиями благодаря гарантированной доставке и механизму повторной передачи. Однако его архитектура имеет фундаментальный недостаток: head-of-line blocking. Потеря одного...

AdminForum AdminForum
30.04.2026
AI маршрутизация прокси eBPF фильтрация Hysteria2 настройка
1,048
0
Продолжить чтение
SQL для аналитиков: руководство по обработке данных - от SELECT до оконных функций 2026
Обсуждение

SQL для аналитиков: руководство по обработке данных - от SELECT до оконных функций 2026

Навигация по статье: [1. Введение: Зачем аналитику SQL в 2026 году](#введение-зачем-аналитику-sql-в-2026-году) [2. Установка и настройка среды: PostgreSQL, DBeaver, Jupyter](#установка-и-настройка-среды-postgresql-dbeaver-jupyter) [3. Интерфейс и первые шаги: подключение, база данных, схема](#интерфейс-и-первые-шаги-подключение-база-данных-схема) [4. Основы SELECT: выборка, фильтрация, сортировка](#основы-select-выборка-фильтрация-сортировка) [5. Агрегация и группировка: COUNT, SUM, AVG, HAVING](#агрегация-и-группировка-count-sum-avg-having) [6. JOIN: объединение таблиц без потери данных](#join-объединение-таблиц-без-потери-данных) [7. Подзапросы и CTE: читаемость и оптимизация](#подзапросы-и-cte-читаемость-и-оптимизация) [8. Работа с датами и строками: реальные кейсы аналитики](#работа-с-датами-и-строками-реальные-кейсы-аналитики) [9. Оконные функции: ROW_NUMBER, RANK, LAG, LEAD](#оконные-функции-row_number-rank-lag-lead) [10. Продвинутые оконные функции: NTILE, SUM OVER, скользящие средние](#продвинутые-оконные-функции-ntile-sum-over-скользящие-средние) [11. Оптимизация запросов: индексы, EXPLAIN, планы выполнения](#оптимизация-запросов-индексы-explain-планы-выполнения) [12. Практикум: анализ воронки, когортный анализ, RFM](#практикум-анализ-воронки-когортный-анализ-rfm) [13. Интеграция с BI-системами и автоматизация](#интеграция-с-bi-системами-и-автоматизация) [14. Типичные ошибки аналитиков и как их избежать](#типичные-ошибки-аналитиков-и-как-их-избежать) [15. Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) [16. Заключение: Ваш путь в аналитике данных](#заключение-ваш-путь-в-аналитике-данных) # 1. Введение: Зачем аналитику SQL в 2026 году {#введение-зачем-аналитику-sql-в-2026-году} Аналитика данных переживает структурную трансформацию. Если ещё пять лет назад достаточно было уверенного владения Excel, формулами и базовыми макросами, то сегодня объёмы данных, частота их обновления и требования к воспроизводимости результатов делают электронные таблицы неэффективным инструментом для серьёзных задач. Аналитики, ограничивающиеся только визуальными редакторами и drag-and-drop интерфейсами, сталкиваются с тремя критическими проблемами: лимиты на количество строк, невозможность автоматизировать регулярные отчёты и полная зависимость от предварительной подготовки данных инженерами. SQL решает все три проблемы одновременно. Язык структурированных запросов (Structured Query Language) остаётся стандартом де-факто для работы с реляционными базами данных, хранилищами данных (Data Warehouse) и современными облачными аналитическими платформами. Его главное преимущество — декларативность. Вы описываете, какие данные нужны, а не как именно их извлекать. Оптимизатор базы данных самостоятельно строит план выполнения, используя индексы, статистику распределения и аппаратные возможности сервера. Это позволяет аналитику сосредоточиться на бизнес-логике, а не на низкоуровневой обработке массивов. В 2026 году SQL не просто «умеет фильтровать таблицы». Современные диалекты (PostgreSQL, ClickHouse, BigQuery, Snowflake) поддерживают сложные оконные функции, рекурсивные запросы, работу с полуструктурированными данными (JSON, ARRAY) и векторные операции для ML-пайплайнов. Аналитик, владеющий SQL на продвинутом уровне, способен самостоятельно строить витрины данных, проверять гипотезы без ожидания дата-инженеров и передавать в BI-системы уже агрегированные, очищенные датасеты. Это напрямую влияет на скорость принятия решений и сокращает цикл «вопрос — ответ» с нескольких дней до нескольких минут. В этом руководстве мы разберём SQL системно: от первых команд SELECT до сложных оконных функций, CTE и оптимизации запросов. Каждый раздел содержит практические примеры, предупреждения о типичных ошибках и пошаговые инструкции. Вы научитесь не просто писать запросы, а понимать, как база данных их исполняет, где теряется производительность и как выстраивать воспроизводимые аналитические пайплайны. Результат: уверенное владение SQL для решения реальных бизнес-задач — когортный анализ, расчёт retention, построение воронок, сегментация клиентов и подготовка данных для машинного обучения. [🔗 Внутренняя ссылка: Руководство по настройке PostgreSQL для аналитики] # 2. Установка и настройка среды: PostgreSQL, DBeaver, Jupyter {#установка-и-настройка-среды-postgresql-dbeaver-jupyter} Для изучения и повседневной работы аналитику не требуется разворачивать enterprise-кластеры. Достаточно локальной инсталляции PostgreSQL — наиболее сбалансированной СУБД для аналитических задач, поддерживающей оконные функции, CTE, полнотекстовый поиск и расширение PostGIS. Процесс установки занимает 10–15 минут и не требует глубоких знаний администрирования. На Windows скачайте официальный инсталлятор с сайта PostgreSQL. При установке выберите компоненты: PostgreSQL Server, pgAdmin (веб-интерфейс), Command Line Tools. На этапе настройки пароля запишите учётные данные пользователя postgres. На macOS используйте Homebrew: `brew install postgresql`. Для...

AdminForum AdminForum
30.04.2026
BI CTE data engineering
113
0
Продолжить чтение
7 способов обнаружить скрытые скрипты в Office-документах (DOCX, XLSX)
Обсуждение

7 способов обнаружить скрытые скрипты в Office-документах (DOCX, XLSX)

### Содержание 1. [Почему Office-документы — главный вектор атак в 2026](#pochemu-office-dokumenty-glavnyj-vektor) 2. [Метод 1: Проверка расширений и ZIP-структуры файла](#metod-1-proverka-rasshirenij-i-zip-struktury) 3. [Метод 2: Встроенный редактор VBA и инспектор документов](#metod-2-vstroennyj-redaktor-vba-i-inspektor) 4. [Метод 3: Анализ OLE-потоков и vbaProject.bin](#metod-3-analiz-ole-potokov-i-vbaproject-bin) 5. [Метод 4: Поиск внешних ссылок и автозагрузок](#metod-4-poisk-vneshnih-ssylok-i-avtozagruzok) 6. [Метод 5: Деобфускация и статический анализ кода](#metod-5-deobfuskaciya-i-staticheskij-analiz) 7. [Метод 6: Проверка встроенных объектов и OLE-пакетов](#metod-6-proverka-vstroennyh-obektov-i-ole-paketov) 8. [Метод 7: Динамический анализ в изолированной среде](#metod-7-dinamicheskij-analiz-v-izolirovannoj-srede) 9. [Инструментарий: готовые решения для автоматизации](#instrumentarij-gotovye-resheniya) 10. [Чек-лист: что делать, если скрипт найден](#chek-list-chto-delat-esli-skript-najden) 11. [Частые вопросы (FAQ)](#chastye-voprosy-faq) 12. [Итог: ваш алгоритм анализа](#itog-vash-algoritm-analiza) ## Почему Office-документы — главный вектор атак в 2026 {#pochemu-office-dokumenty-glavnyj-vektor} DOCX и XLSX давно перестали быть просто «форматами для отчётов». Это контейнеры, поддерживающие исполнение кода, автоматические загрузки, сетевые запросы и внедрение бинарных объектов. Для атакующих это идеальный носитель: легитимный формат, высокая доверительность пользователей, сложность автоматической фильтрации. Статистика и тренды 2025-2026: | Показатель | Значение | Источник | ||-|-| | Доля фишинга через Office | 68% от всех email-атак | Microsoft Digital Defense Report, 2025 | | Использование VBA-обфускации | +41% к 2024 году | Kaspersky Threat Landscape | | Обход защиты макросов по умолчанию | 73% успешных доставок | Proofpoint State of Phish | | Внедрение через OLE/Embeddings | 22% от всех кампаний | CrowdStrike Global Threat Report | > 💡 Факт: С 2022 года Microsoft по умолчанию блокирует макросы из интернета, но злоумышленники адаптировались: используют свойства документов для автозапуска, внедряют HTA/JS-загрузчики, маскируют код под легитимные формулы Excel. Реальные риски: | Вектор | Как проявляется | Последствия | |--|-|-| | VBA-макросы | Автозапуск при открытии, вызов `AutoOpen`, `Workbook_Open` | Загрузка малвари, кража данных, ransomware | | Внешние ссылки | Подключение к удалённым шаблонам, DDE, OLE-объекты | Обход песочниц, фишинг, эксплуатация 0-day | | OLE-пакеты | Внедрение `.exe`, `.js`, `.vbs` в `embeddings/` | Прямой запуск кода в обход макросов | | Формулы/скрипты | JavaScript в Office Add-ins, Power Query | Обход EDR, скрытый эксфильтрация | > 📌 Запомните: Отсутствие всплывающего окна «Включить макросы» не гарантирует безопасность. Код может срабатывать через свойства документа, автозагрузки формул или внедрённые объекты. ## Метод 1: Проверка расширений и ZIP-структуры файла {#metod-1-proverka-rasshirenij-i-zip-struktury} DOCX и XLSX — это ZIP-архивы с XML-структурой. Макросы и скрипты не хранятся в `.docx`/`.xlsx` напрямую: для них нужны отдельные расширения или скрытые файлы внутри архива. ### 🔍 Быстрая диагностика ```bash # 1. Проверить расширение file report.xlsx # Если вывод содержит "Excel", но расширение .xls / .doc — это OLE-формат (высокий риск) # Безопасно: .xlsx, .docx, .pptx # Подозрительно: .xlsm, .docm, .xlsb, .dotm (поддерживают макросы) # 2. Распаковать как ZIP (без запуска!) unzip -l suspicious.xlsx | grep -i "vba\|macro\|ole\|rels" # Ищем пути: # xl/vbaProject.bin (макросы Excel) # word/vbaProject.bin (макросы Word) # xl/worksheets/_rels/sheet1.xml.rels (внешние связи) # xl/embeddings/ (внедрённые объекты) ``` ### 📊 Таблица расширений и риска | Расширение | Поддержка макросов | Риск | Рекомендация | ||-||--| | `.xlsx` / `.docx` | ❌ Нет | 🟢 Низкий | Открывать без страха (если не модифицирован) | | `.xlsm` / `.docm` | ✅ Да | 🟡 Средний | Проверять перед открытием | | `.xlsb` | ✅ Да (бинарный) | 🔴 Высокий | Требует анализа `olevba`/`oledump` | | `.xltx` / `.dotm` | ✅ Да (шаблоны) | 🔴 Высокий | Макросы выполняются при создании нового файла | > ✅ Лайфхак: Переименуйте `.xlsx` в `.zip` и откройте архиватором. Если внутри есть папки `xl/` или `word/` с файлом `vbaProject.bin` — документ содержит макросы, даже если расширение «безопасное». ## Метод 2: Встроенный редактор VBA и инспектор документов {#metod-2-vstroennyj-redaktor-vba-i-inspektor} Microsoft Office предоставляет штатные инструменты для просмотра кода. Их часто игнорируют, но они дают мгновенный результат. ### 🔧 Пошаговая проверка ``` 1️⃣ Откройте документ (НЕ ВКЛЮЧАЙТЕ макросы при запросе!) 2️⃣ Перейдите: Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью → Параметры макросов → Отключить все макросы без уведомления 3️⃣ Включите вкладку «Разработчик»: Файл → Параметры → Настроить ленту → ✅ Разработчик 4️⃣ Нажмите «Visual Basic» или `Alt + F11` 5️⃣ В окне проекта...

AdminForum AdminForum
28.04.2026
DOCX XLSX безопасность oledump.py анализ VBA деобфускация
141
0
Продолжить чтение
Как обнаружить использование Tor Browser на компьютере: скрытые файлы и трафик
Обсуждение

Как обнаружить использование Tor Browser на компьютере: скрытые файлы и трафик

### Содержание 1. [Зачем обнаруживать Tor Browser: сценарии и ограничения](#zachem-obnaruzhivat-tor-browser) 2. [Архитектура Tor Browser: что и где сохраняется](#arhitektura-tor-browser) 3. [Файловые артефакты: полный список по ОС](#failovye-artefakty-po-os) 4. [Реестр и системные настройки: следы в конфигурации](#reestr-i-sistemnye-nastroiki) 5. [Сетевые индикаторы: как распознать Tor-трафик](#setevye-indikatory-tor) 6. [Память и дампы: артефакты в RAM и crash-отчётах](#pamyat-i-dampy-artefakty) 7. [Логи и журналы: что записывает система о Tor](#logi-i-zhurnaly) 8. [Инструменты для автоматического обнаружения](#instrumenty-dlya-avtomaticheskogo-obnaruzheniya) 9. [Юридические и этические аспекты](#yuridicheskie-i-eticheskie-aspekty) 10. [Частые вопросы (FAQ)](#chastye-voprosy-faq) 11. [Итог: чек-лист для исследователя](#itog-chek-list) ## Зачем обнаруживать Tor Browser: сценарии и ограничения {#zachem-obnaruzhivat-tor-browser} Tor Browser — не «волшебная таблетка» анонимности. Это инструмент, который, как и любое ПО, взаимодействует с операционной системой, сетью и пользователем. Каждое такое взаимодействие оставляет след. Типичные сценарии обнаружения: | Роль | Задача | Что ищем | ||--|-| | Корпоративный SOC | Выявление нарушений политик ИБ | Запуск Tor в рабочей сети, утечка данных через анонимные каналы | | Цифровой криминалист | Расследование инцидента | Доказательства использования Tor для сокрытия действий | | Родительский контроль | Защита несовершеннолетних | Попытки обхода фильтрации контента | | Пентестер / Red Team | Оценка устойчивости защиты | Тестирование DLP и мониторинга на детектирование Tor | | Пользователь | Проверка собственной приватности | Убедиться, что после удаления Tor не осталось следов | > 💡 Факт: По данным исследований 2025 года, 94% установок Tor Browser на Windows оставляют хотя бы один идентифицируемый артефакт в реестре или файловой системе, даже при «портативном» запуске [[1]]. Важные ограничения: ``` ⚠️ Отсутствие артефактов ≠ отсутствие использования • Пользователь мог запустить Tor с LiveUSB • Артефакты могли быть намеренно удалены • Некоторые следы перезаписываются при активной работе системы ⚠️ Наличие артефактов ≠ доказательство злого умысла • Журналисты, активисты, исследователи используют Tor легально • В РФ использование Tor не запрещено, но может привлекать внимание ⚠️ Технические индикаторы требуют контекста • Сетевой трафик, похожий на Tor, может быть зашифрованным VPN • Файлы с именами «tor» могут быть частью легитимного ПО ``` > 📌 Правило: Ищите совокупность индикаторов (3+ артефакта), а не один «дымящийся пистолет». ## Архитектура Tor Browser: что и где сохраняется {#arhitektura-tor-browser} Понимание внутренней структуры Tor Browser помогает предсказать, где могут остаться следы. ### 📦 Компоненты Tor Browser ``` 🗂️ Tor Browser Bundle ├── 🌐 Firefox ESR (модифицированный) │ ├── Профиль пользователя (по умолчанию в папке браузера) │ ├── Кэш, куки, история, закладки │ └── Расширения (NoScript, HTTPS Everywhere) ├── 🔁 Tor Daemon (tor.exe / tor) │ ├── Конфигурация: torrc │ ├── Ключи сессии, кэш цепей │ └── Логи (если включены) ├── ⚙️ Лаунчер / оболочка │ ├── Настройки запуска │ └── Логи инициализации └── 📁 Данные сессии ├── Временные файлы ├── Дампы памяти (при сбоях) └── Метаданные запуска ``` ### 🔑 Ключевые особенности, влияющие на артефакты ``` ✅ Профиль по умолчанию внутри папки браузера → При запуске с USB/внешнего диска профиль остаётся там же → Но ОС всё равно может создать следы в системных областях ✅ Автоматическая очистка при закрытии → История, куки, кэш удаляются браузером → Но не всегда полностью: фрагменты могут остаться в unallocated space ✅ Портативность ≠ невидимость → Даже без установки в Program Files, Windows/macOS/Linux регистрируют запуск исполняемых файлов, сетевую активность, создание временных файлов ✅ Тор не шифрует локальные файлы → Конфигурации, логи, кэш хранятся в открытом виде → При доступе к диску их можно прочитать без дополнительных ключей ``` > 💡 Лайфхак: Ищите не только «tor», но и связанные компоненты: `firefox.exe` с нестандартными путями, процессы с аргументами `--profile`, сетевые соединения на порты 9001/9030/9050. ## Файловые артефакты: полный список по ОС {#failovye-artefakty-po-os} ### 🪟 Windows ``` 📁 Папки установки и профиля (по умолчанию): • C:\Users\[USER]\Desktop\Tor Browser\ • C:\Users\[USER]\Downloads\Tor Browser\ • D:\Tor Browser\ (внешние носители) • %APPDATA%\Tor\ (если профиль вынесен) 📄 Ключевые файлы: • tor.exe — исполняемый файл Tor • Browser\firefox.exe — модифицированный Firefox • Data\Tor\torrc — конфигурация Tor (пути, порты, мосты) • Data\Tor\control_auth_cookie — аутентификация контрольного порта • Browser\Profiles\[HASH]\prefs.js — настройки профиля • Browser\Profiles\[HASH]\places.sqlite — история, закладки (если не очищена) • Browser\Profiles\[HASH]\cookies.sqlite — куки (временные) • Browser\Profiles\[HASH]\cache2\ — кэш контента • Data\Tor\state — состояние цепей, дескрипторы • *.log, *.dmp —...

AdminForum AdminForum
28.04.2026
Tor log файлы анализ Tor memory forensics Tor сетевой трафик анализ
148
0
Продолжить чтение
8 инструментов для анализа браузерных куки и сессий — от Chrome до Brave
Обсуждение

8 инструментов для анализа браузерных куки и сессий — от Chrome до Brave

### Содержание 1. [Зачем анализировать куки и сессии в 2026 году](#zachem-analizirovat-kuki-i-sessii-v-2026-godu) 2. [Встроенные средства браузеров: Chrome, Firefox, Safari, Brave](#vstroennye-sredstva-brauzerov) 3. [Расширения для быстрого анализа и манипуляции](#rasshireniya-dlya-bystrogo-analiza) 4. [Продвинутые инструменты: mitmproxy и OWASP ZAP](#prodvinutye-instrumenty-mitmproxy-i-owasp-zap) 5. [Сравнительная таблица инструментов](#sravnitelnaya-tablica-instrumentov) 6. [Чек-лист: какой инструмент выбрать под задачу](#chek-list-kakoy-instrument-vybrat) 7. [Частые вопросы (FAQ)](#chastye-voprosy-faq) 8. [Итог: ваш рабочий стек для анализа сессий](#itog-vash-rabochiy-stek) ## Зачем анализировать куки и сессии в 2026 году {#zachem-analizirovat-kuki-i-sessii-v-2026-godu} Куки (cookies) и сессионные идентификаторы (session tokens) давно перестали быть просто «файлами с настройками». Сегодня это: - 🔑 Механизм аутентификации (JWT, OAuth tokens, session IDs) - 📊 Источник аналитики и A/B-тестирования - 🎯 Основа таргетированной рекламы и кросс-доменного трекинга - 🛡️ Зона риска: XSS, CSRF, fixation-атаки, утечка через third-party скрипты Реальные сценарии, где нужен анализ: | Роль | Задача | Что ищем в куки/сессиях | ||--|| | Frontend/Backend Dev | Отладка авторизации | Экспирация, `SameSite`, `Secure`, `HttpOnly` | | QA Engineer | Тестирование флоу входа/выхода | Перезапись токенов, очистка сессии, редиректы | | Security Analyst | Поиск уязвимостей | Отсутствие флагов, предсказуемые ID, leakage в URL | | Privacy/Compliance | Аудит соответствия GDPR/152-ФЗ | Third-party куки, длительность хранения, согласие | > 💡 Факт: По данным Chromium Security Blog, более 40% сессионных багов в 2024-2025 гг. возникали из-за некорректной настройки `SameSite=None` или отсутствия флага `Secure` в production [[1]]. ## Встроенные средства браузеров: Chrome, Firefox, Safari, Brave {#vstroennye-sredstva-brauzerov} Каждый современный браузер содержит мощную встроенную панель для работы со storage. Различия — в интерфейсе, глубине фильтрации и поддержке новых стандартов. ### 🔹 1. Chrome DevTools → Application / Storage Как открыть: `F12` → вкладка `Application` → раздел `Storage` → `Cookies` Возможности: - Просмотр всех куки по доменам (первичный, subdomains, third-party) - Фильтрация по имени, домену, пути - Ручное редактирование значений, `Expires`, `Max-Age`, флагов - Экспорт/импорт через `Copy` → `Paste` в JSON-формате - Мониторинг сетевых запросов с привязкой к `Cookie` заголовкам Особенности 2026: - Поддержка `Partitioned Cookies` (CHIPS) для изоляции cross-site трекинга - Визуальная маркировка заблокированных куки (значок 🔒) - Интеграция с Lighthouse для аудита безопасности storage > ⚠️ Важно: В Chrome 118+ вкладка `Application` переименована в `Storage` в некоторых сборках. Если не видите — используйте `Ctrl+Shift+I` → `Application`. ### 🔹 2. Firefox Storage Inspector Как открыть: `F12` → вкладка `Storage` → `Cookies` Возможности: - Чёткое разделение `1st-party` и `3rd-party` - Подсветка куки с нарушением `SameSite` политики - Контекстное меню: `Delete`, `Edit`, `Copy JSON` - Фильтр по `Secure`, `HttpOnly`, `Session` Отличие от Chrome: - Более строгая по умолчанию политика `Enhanced Tracking Protection` - Автоматическая блокировка cross-site куки без явного согласия - Встроенный `Cookie Banner Remover` для тестирования compliance ### 🔹 3. Safari Web Inspector → Storage Как открыть: `Develop` → `Show Web Inspector` → `Storage` → `Cookies` (требуется включить меню Develop в настройках) Возможности: - Минималистичный интерфейс, оптимизированный под macOS/iOS экосистему - Показ `ITP` (Intelligent Tracking Prevention) статусов - Поддержка `SameParty` и `Partitioned` атрибутов - Экспорт в `.har` для дальнейшего анализа Особенности: - Safari активно ограничивает third-party куки по умолчанию - Для анализа мобильных сессий требуется подключение iPhone/iPad через USB и `Develop → [Device]` ### 🔹 4. Brave → Shields + Built-in Cookie Control Как открыть: `F12` → `Application` (совместим с Chromium) + иконка `🦁 Shields` в адресной строке Возможности: - Встроенный аудит трекинговых куки в реальном времени - Фильтр: `Block all`, `Block third-party`, `Allow all` - Просмотр заблокированных скриптов и связанных с ними куки - Экспорт отчёта `Brave Shields Report` (JSON/CSV) Преимущество: - Не требует расширений для анализа приватности - Показывает, какие куки были заблокированы и почему (TPC, fingerprint, ads) ## Расширения для быстрого анализа и манипуляции {#rasshireniya-dlya-bystrogo-analiza} Встроенные панели мощны, но требуют нескольких кликов. Расширения ускоряют работу в 2-3 раза, особенно при отладке или QA. ### 🔹 5. Cookie-Editor (Chrome, Firefox, Edge, Safari) Ссылка: [Chrome Web Store](https://chrome.google.com/webstore/detail/cookie-editor) / [Firefox Add-ons](https://addons.mozilla.org) Функционал: - Одно окно: все куки текущего домена в виде таблицы - Кнопки: `Add`, `Edit`, `Delete`, `Export`, `Import` - Поддержка JSON и...

AdminForum AdminForum
28.04.2026
Brave Shields анализ Chrome DevTools Cookie-Editor расширение
151
0
Продолжить чтение
Международная операция лишила хакеров платформы для аренды DDoS-атак
Обсуждение

Международная операция лишила хакеров платформы для аренды DDoS-атак

Правоохранительные органы 21 страны провели скоординированную операцию PowerOFF, направленную против рынка услуг DDoS-for-hire — платформ, позволяющих за плату запускать атаки на отказ в обслуживании securitymedia.org . В результате были отключены 53 домена, связанные с такими сервисами, проведены четыре ареста и выданы 25 ордеров на обыск. По оценкам экспертов, платформами пользовались более 75 тысяч человек, включая как злоумышленников, так и любопытных пользователей, не осознававших правовых последствий. Особенность операции — профилактическая рассылка предупреждений идентифицированным пользователям через электронную и обычную почту. Такой подход направлен не только на пресечение незаконной активности, но и на повышение цифровой грамотности. Эксперты подчёркивают: доступность «атак по подписке» снижает порог входа в киберпреступность, позволяя даже неопытным злоумышленникам наносить ущерб бизнесу и инфраструктуре. Усиление международного сотрудничества и превентивное информирование — ключевые элементы борьбы с этой угрозой в 2026 году.

AdminForum AdminForum
28.04.2026
DDoS атаки на отказ безопасность сети
52
0
Продолжить чтение
Критические уязвимости на внешнем периметре: 6 млн хостов передают данные без шифрования
Обсуждение

Критические уязвимости на внешнем периметре: 6 млн хостов передают данные без шифрования

Исследователи платформы Censys опубликовали данные мониторинга интернет-инфраструктуры за апрель 2026 года, выявив масштабную проблему безопасности. Около 5,95 миллионов хостов по-прежнему используют устаревший протокол FTP для передачи файлов, причем у 2,45 млн из них не зафиксировано признаков применения TLS-шифрования. Эксперты подчеркивают: отсутствие шифрования не всегда означает передачу данных в открытом виде, однако сам факт наличия такой инфраструктуры создает значительные риски. Злоумышленники могут перехватывать логины, пароли и конфиденциальные файлы, используя методы пассивного прослушивания трафика. Ситуация усугубляется тем, что многие организации не обновляют унаследованные системы, полагаясь на «работает — не трогай». Однако в условиях роста целевых атак такая позиция становится уязвимой. Специалисты рекомендуют провести аудит внешних сервисов, отключить незащищенные FTP-порты и перевести передачу данных на SFTP или FTPS с обязательным шифрованием. Для бизнеса это сигнал: даже «незаметные» сервисы могут стать точкой входа для атаки. Регулярный сканинг периметра и обновление протоколов — минимальная мера защиты в 2026 году.

AdminForum AdminForum
28.04.2026
Censys FTP TLS
45
0
Продолжить чтение
20 артефактов Telegram Desktop, которые надо знать
Обсуждение

20 артефактов Telegram Desktop, которые надо знать

### Содержание 1. [Что такое артефакты Telegram и зачем они нужны](#chto-takoe-artefakty-telegram) 2. [Структура данных Telegram Desktop 4.x](#struktura-dannyh-telegram-desktop) 3. [20 артефактов Telegram Desktop 4.x: полный список](#20-artefaktov-telegram-desktop) 4. [Где искать: пути к данным на Windows, macOS, Linux](#gde-iskat-puti-k-dannym) 5. [Как извлечь данные: инструменты и методы](#kak-izvlech-dannye-instrumenty) 6. [Что остаётся после «удаления»: мифы и реальность](#chto-ostaetsya-posle-udaleniya) 7. [Как правильно очистить Telegram без следов](#kak-pravilno-ochistit-telegram) 8. [Юридические и этические аспекты](#yuridicheskie-i-eticheskie-aspekty) 9. [Частые вопросы](#chastye-voprosy-faq) 10. [Итог: чек-лист для исследователя и пользователя](#itog-chek-list) ## Что такое артефакты Telegram и зачем они нужны {#chto-takoe-artefakty-telegram} Артефакты в цифровой криминалистике — это любые данные, оставленные приложением на устройстве: файлы, записи в реестре, логи, кэш, метаданные. Telegram Desktop 4.x (выпущен в 2024-2025 гг.) использует новую архитектуру хранения данных по сравнению с версиями 3.x. Понимание этих изменений критично для: | Для кого | Зачем нужно | |-|-| | Следователи | Извлечение доказательств: переписки, контакты, время активности | | OSINT-аналитики | Сбор информации о целях через локальные данные | | Пентестеры | Оценка утечек данных при компрометации устройства | | Пользователи | Контроль приватности: что остаётся после «удаления» | | Разработчики | Отладка, миграция данных, совместимость | > 💡 Факт: В Telegram Desktop 4.x данные шифруются на уровне приложения, но не используют полноценное E2E-шифрование для облачных чатов — это значит, что локальные артефакты могут содержать читаемые сообщения при наличии ключей сессии [[1]]. ## Структура данных Telegram Desktop 4.x {#struktura-dannyh-telegram-desktop} Telegram Desktop 4.x перешёл на модульную систему хранения. Основные компоненты: ``` 📁 tdata/ (корневая директория данных) ├── 📄 map # Индекс пользователей и чатов ├── 📄 settings # Глобальные настройки приложения ├── 📄 /D877F783C5D3227/ # Папка сессии (имя = hash от user_id) │ ├── 📄 user_data # Данные профиля │ ├── 📄 cache/ # Кэш медиа │ ├── 📄 thumbnails/ # Миниатюры │ ├── 📄 stickers/ # Кэш стикеров │ └── 📄 logs/ # Логи сессии ├── 📄 /keys/ # Ключи шифрования (зашифрованы) ├── 📄 /emoji/ # Кэш эмодзи ├── 📄 /voice/ # Кэш голосовых сообщений └── 📄 /documents/ # Кэш документов ``` > ⚠️ Важно: В версии 4.x имена папок сессий генерируются через `SHA256(user_id + salt)`, что усложняет прямую привязку к конкретному аккаунту без дополнительного анализа. ## 20 артефактов Telegram Desktop 4.x: полный список {#20-artefaktov-telegram-desktop} ### 🔹 1. Файл `map` — индекс всех чатов и пользователей ``` Путь: tdata/map Формат: Бинарный (protobuf) Что содержит: • Список всех диалогов (чат-ид, тип, заголовок) • Привязка user_id к локальным идентификаторам • Время последнего сообщения в каждом чате • Статус «закреплён», «архивирован», «заглушён» Значение для расследования: Быстрый обзор активности без расшифровки сообщений. ``` ### 🔹 2. Файл `settings` — глобальные настройки ``` Путь: tdata/settings Формат: JSON-like бинарный Что содержит: • Язык интерфейса, тема оформления • Настройки уведомлений, автозагрузки медиа • Включён ли двухфакторный вход (2FA) • Дата последнего запуска приложения Значение: Позволяет восстановить «поведенческий профиль» пользователя. ``` ### 🔹 3. Папка сессии `/D877F783C5D3227/` — ядро данных аккаунта ``` Путь: tdata/[HASH]/ Формат: Структурированная директория Что содержит: • user_data — профиль: имя, юзернейм, номер телефона (хешированный) • cache — временные данные • logs — логи сессии Значение: Основной источник доказательств. Содержит привязку к конкретному аккаунту. ``` ### 🔹 4. Файл `user_data` — профиль пользователя ``` Путь: tdata/[HASH]/user_data Формат: Протокол-буфер (protobuf) Что содержит: • Отображаемое имя (может отличаться от реального) • Username (@nickname) • Номер телефона (в зашифрованном виде, но с возможностью восстановления при наличии сессионного ключа) • Дата регистрации аккаунта • Статус «премиум», «верифицирован» Значение: Идентификация владельца аккаунта. ``` ### 🔹 5. Кэш сообщений в `cache/messages` ``` Путь: tdata/[HASH]/cache/messages Формат: SQLite-подобная структура Что содержит: • Текст сообщений (включая удалённые, если кэш не очищен) • Вложения: ссылки на медиафайлы • Время отправки/получения • Статус доставки (отправлено, прочитано) Значение: Восстановление истории переписки даже после «удаления чата» в приложении. ``` ### 🔹 6. Медиа-кэш: `cache/media` ``` Путь: tdata/[HASH]/cache/media Формат: Файлы с хеш-именами (.jpg, .mp4, .webp) Что содержит: • Фото, видео, документы, загруженные автоматически • Файлы могут сохраняться даже если пользователь не открывал их явно Значение: Извлечение визуальных доказательств без доступа к облаку. ``` ### 🔹 7. Миниатюры: `thumbnails/` ``` Путь: tdata/[HASH]/thumbnails/ Формат: WebP/JPG, имена =...

AdminForum AdminForum
27.04.2026
Telegram cache файлы Telegram Desktop артефакты Telegram Desktop приватность
123
0
Продолжить чтение
Безопасные мессенджеры 2026: сравнение шифрования и утечек
Обсуждение

Безопасные мессенджеры 2026: сравнение шифрования и утечек

### Содержание 1. [Почему безопасность мессенджера — это не паранойя](#pochemu-bezopasnost-messendzhera-eto-ne-paranoya) 2. [Критерии оценки: на что смотреть в 2026](#kriterii-ocenki-na-chto-smotret-v-2026) 3. [Сравнительная таблица популярных мессенджеров](#tablica-sravnitelnyj-analiz-8-messendzherov) 4. [Подробный разбор: 7 мессенджеров](#razbor-podrobnyj-analiz) 5. [Утечки данных: что произошло в 2024-2026](#utechki-statistika-i-prichiny) 6. [Как выбрать: чек-лист под ваши задачи](#vybor-chek-list-po-scenariyam) 7. [Настройки приватности: 5 минут на защиту](#nastroiki-universalnyj-chek-list) 8. [Частые вопросы](#faq-otvety-na-glavnye-voprosy) ## Почему безопасность мессенджера — это не паранойя {#pochemu-bezopasnost-messendzhera-eto-ne-paranoya} Мессенджеры давно перестали быть просто «чатом с друзьями». В них: - Обсуждают рабочие проекты и контракты - Передают сканы документов, пароли, коды 2FA - Хранят фото, геолокацию, голосовые сообщения Реальные риски 2026 года: | Риск | Кто в зоне опасности | Последствия | |||-| | Утечка метаданных | Все пользователи | Профилирование, таргетированная реклама, слежка | | Взлом аккаунта | Пользователи без 2FA | Доступ ко всей переписке, мошенничество от вашего имени | | Сбор данных корпорациями | Пользователи бесплатных сервисов | Обучение ИИ на ваших чатах, продажа анонимизированных данных | | Государственные запросы | Все, особенно в регулируемых юрисдикциях | Передача данных правоохранительным органам | > 💡 Факт: В 2025 году объём утечек персональных данных россиян вырос в 1,5 раза — более 760 млн строк информации оказались в открытом доступе [[24]]. ## Критерии оценки: на что смотреть в 2026 {#kriterii-ocenki-na-chto-smotret-v-2026} ### 🔑 6 ключевых параметров безопасности ``` ✅ Сквозное шифрование (E2E) по умолчанию → Сообщения шифруются на устройстве отправителя и расшифровываются только у получателя ✅ Открытый исходный код → Позволяет независимым экспертам проверять код на уязвимости ✅ Минимальный сбор метаданных → Кто, с кем, когда и как долго общался — это тоже данные ✅ Юрисдикция компании → Законы какой страны регулируют доступ к вашим данным ✅ Анонимность регистрации → Требуется ли номер телефона / email / паспортные данные ✅ Дополнительные функции → Самоуничтожающиеся сообщения, защита от скриншотов, блокировка пересылки ``` ### ⚠️ Важное уточнение про шифрование | Тип шифрования | Что защищает | Кто может прочитать | |-|--|-| | E2E (сквозное) | Содержимое сообщения | Только отправитель и получатель | | Транспортное (TLS) | Передачу данных между устройством и сервером | Владелец сервера | | Отсутствует | Ничего | Любой, кто получит доступ к серверу | > 📌 Запомните: Если мессенджер не указывает явно «E2E по умолчанию» — ваши чаты, скорее всего, не защищены от просмотра разработчиком. ## Сравнительная таблица популярных мессенджеров {#tablica-sravnitelnyj-analiz-8-messendzherov} | Мессенджер | E2E по умолчанию | Исходный код | Сбор метаданных | Регистрация | Юрисдикция | Оценка приватности* | ||--|--|--|-||-| | Signal | ✅ Да | 🔓 Открытый | 🔹 Минимум | 📱 Номер телефона | США (некоммерческий) | ★★★★★ | | Telegram | ❌ Только «секретные чаты» | 🔒 Частично | 🔴 Много | 📱 Номер телефона | ОАЭ / РФ (юридически сложно) | ★★★☆☆ | | WhatsApp | ✅ Да | 🔒 Закрытый | 🔴 Много | 📱 Номер телефона | США (Meta*) | ★★★☆☆ | | iMessage | ✅ Да (в экосистеме Apple) | 🔒 Закрытый | 🟡 Средне | 🍎 Apple ID | США | ★★★★☆ | | Wire | ✅ Да | 🔓 Открытый | 🔹 Минимум | ✉️ Email / телефон | Швейцария / ЕС | ★★★★★ | | Session | ✅ Да | 🔓 Открытый | 🔹 Минимум | 🔐 Без номера (анонимный ID) | Австралия (децентрализован) | ★★★★★ | | Threema | ✅ Да | 🔒 Частично | 🔹 Минимум | 🔐 Без номера (случайный ID) | Швейцария | ★★★★★ | | Element (Matrix) | ✅ Да (настраивается) | 🔓 Открытый | 🟡 Зависит от сервера | ✉️ Любое | Децентрализован | ★★★★☆ | *\*Оценка по методике Incogni Social Media Privacy Ranking 2025 с корректировкой на практическую значимость параметров [[3]]* > ⚠️ Meta (Facebook, Instagram, WhatsApp) признана экстремистской организацией в РФ и запрещена*. ## Подробный разбор: 7 мессенджеров {#razbor-podrobnyj-analiz} ### 🥇 Signal — золотой стандарт приватности ``` 🔐 Протокол: Signal Protocol (открытый, проверенный криптографами) 📱 Регистрация: номер телефона (обязательно) 💾 Хранение: сообщения только на устройствах, нет облачного бэкапа 🌐 Серверы: США, но архитектура минимизирует доступ к данным ``` Плюсы: - Минимальный сбор данных: только номер телефона для регистрации [[2]] - Открытый исходный код и независимые аудиты безопасности - Исчезающие сообщения, защита от скриншотов - Некоммерческая модель: нет мотивации монетизировать ваши данные Минусы: - Меньшая аудитория в РФ — не все контакты «в сигнале» - Нет облачного бэкапа: при потере телефона переписка исчезает - Ограниченный функционал: нет каналов, ботов, стикерпаков > ✅ Рекомендация: Лучший выбор для конфиденциальных переговоров, журналистов, активистов. ### 🥈 Telegram — удобство с оговорками ``` 🔐 Протокол: MTProto (закрытый, спорная...

AdminForum AdminForum
27.04.2026
Signal мессенджер безопасность Telegram секретные чаты настройка WhatsApp защита данных
104
0
Продолжить чтение
Искусственный интеллект в кибербезопасности: мощные возможности и скрытые риски 2026
Обсуждение

Искусственный интеллект в кибербезопасности: мощные возможности и скрытые риски 2026

### Содержание 1. [Введение: Почему ИИ меняет правила игры в кибербезопасности](#введение-почему-ии-меняет-правила-игры-в-кибербезопасности) 2. [Архитектура ИИ-систем безопасности: от данных до решений](#архитектура-ии-систем-безопасности-от-данных-до-решений) 3. [Возможность #1: Обнаружение аномалий и угроз в реальном времени](#возможность-1-обнаружение-аномалий-и-угроз-в-реальном-времени) 4. [Возможность #2: Прогнозная аналитика и упреждающая защита](#возможность-2-прогнозная-аналитика-и-упреждающая-защита) 5. [Возможность #3: Автоматизация SOC и ускорение реагирования](#возможность-3-автоматизация-soc-и-ускорение-реагирования) 6. [Возможность #4: Генеративный ИИ для тестирования и обучения](#возможность-4-генеративный-ии-для-тестирования-и-обучения) 7. [Возможность #5: Анализ поведения пользователей и сущностей (UEBA)](#возможность-5-анализ-поведения-пользователей-и-сущностей-ueba) 8. [Риск #1: Атаки на модели ИИ — adversarial machine learning](#риск-1-атаки-на-модели-ии--adversarial-machine-learning) 9. [Риск #2: Использование ИИ злоумышленниками — новая эра угроз](#риск-2-использование-ии-злоумышленниками--новая-эра-угроз) 10. [Риск #3: Ложные срабатывания и «усталость от алертов»](#риск-3-ложные-срабатывания-и-усталость-от-алертов) 11. [Риск #4: Этические и регуляторные вызовы](#риск-4-этические-и-регуляторные-вызовы) 12. [Риск #5: Зависимость от данных и качество моделей](#риск-5-зависимость-от-данных-и-качество-моделей) 13. [Практика: Пошаговое внедрение ИИ в киберзащиту организации](#практика-пошаговое-внедрение-ии-в-киберзащиту-организации) 14. [Продвинутые техники: объяснимый ИИ, федеративное обучение, MLOps](#продвинутые-техники-объяснимый-ии-федеративное-обучение-mlops) 15. [Интеграция и масштабирование: API, SIEM, облачные платформы](#интеграция-и-масштабирование-api-siem-облачные-платформы) 16. [Мониторинг и аудит ИИ-систем безопасности](#мониторинг-и-аудит-ии-систем-безопасности) 17. [Будущее ИИ в кибербезопасности: тренды 2026-2030](#будущее-ии-в-кибербезопасности-тренды-2026-2030) 18. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 19. [Заключение: Баланс возможностей и рисков в эпоху ИИ](#заключение-баланс-возможностей-и-рисков-в-эпоху-ии) ### Введение: Почему ИИ меняет правила игры в кибербезопасности {#введение-почему-ии-меняет-правила-игры-в-кибербезопасности} Киберпространство 2026 года — это поле битвы, где скорость, масштаб и сложность угроз превышают возможности традиционных методов защиты. Ежедневно генерируются петабайты логов, миллионы событий безопасности и тысячи новых векторов атак. Человек физически не способен анализировать этот объём данных в реальном времени. Именно здесь на сцену выходит искусственный интеллект. Проблема заключается в двойственной природе ИИ в кибербезопасности. С одной стороны, машинное обучение позволяет обнаруживать аномалии, которые человек пропустил бы, прогнозировать атаки до их реализации и автоматизировать рутинные задачи SOC. С другой — те же технологии дают злоумышленникам инструменты для создания адаптивных вредоносов, генерации персонализированного фишинга и обхода сигнатурных защит. ИИ не заменяет экспертов по безопасности — он усиливает их возможности. Но без понимания архитектуры, ограничений и рисков внедрение ИИ может создать ложное чувство безопасности или, хуже того, новые уязвимости. Модели машинного обучения сами могут стать целью атак (adversarial ML), а некачественные данные — привести к ложным срабатываниям или пропуску реальных угроз. В этом руководстве мы детально разберём роль ИИ в кибербезопасности с двух сторон: возможности для защиты и риски, которые необходимо учитывать. Вы узнаете, как работают ИИ-системы обнаружения угроз, как внедрять их поэтапно, как защищать сами модели от атак и как соблюдать этические и регуляторные требования. Материал основан на отчётах исследовательских групп (MITRE, NIST, ENISA), анализе реальных кейсов внедрения ИИ в SOC и интервью с практикующими специалистами по кибербезопасности. Все рекомендации актуальны на январь 2026 года и учитывают последние тренды в области генеративного ИИ, федеративного обучения и объяснимого ИИ (XAI). Для выполнения инструкций потребуется базовое понимание принципов машинного обучения и архитектуры систем безопасности. Руководство рассчитано на CISO, аналитиков SOC, архитекторов безопасности и технических руководителей, принимающих решения о внедрении ИИ. ### Архитектура ИИ-систем безопасности: от данных до решений {#архитектура-ии-систем-безопасности-от-данных-до-решений} Понимание архитектуры ИИ-систем кибербезопасности критически важно для их эффективного внедрения и эксплуатации. В отличие от традиционных сигнатурных систем, ИИ-решения работают с данными, моделями и обратной связью в непрерывном цикле. Уровень 1: Сбор и подготовка данных Качество данных — фундамент любой ИИ-системы. В кибербезопасности источники данных включают: - Логи сетевых устройств (firewall, IDS/IPS, прокси) - События конечных точек (EDR, антивирусы, системные логи) -...

AdminForum AdminForum
23.04.2026
AI атаки автоматизация SOC адаптивная защита
192
0
Продолжить чтение
Блокчейн-анализ: 10 лучших инструментов для расследований и мониторинга криптотранзакций в 2026 году
Обсуждение

Блокчейн-анализ: 10 лучших инструментов для расследований и мониторинга криптотранзакций в 2026 году

### Содержание 1. [Введение: Почему блокчейн-анализ стал критически важным в 2026 году](#введение-почему-блокчейн-анализ-стал-критически-важным-в-2026-году) 2. [Архитектура блокчейн-анализа: как работают инструменты отслеживания](#архитектура-блокчейн-анализа-как-работают-инструменты-отслеживания) 3. [Критерии выбора: 10 параметров для оценки инструментов](#критерии-выбора-10-параметров-для-оценки-инструментов) 4. [Инструмент #1: Chainalysis — золотой стандарт индустрии](#инструмент-1-chainalysis-золотой-стандарт-индустрии) 5. [Инструмент #2: Elliptic — фокус на комплаенс и регуляторику](#инструмент-2-elliptic-фокус-на-комплаенс-и-регуляторику) 6. [Инструмент #3: TRM Labs — скорость и глобальный охват](#инструмент-3-trm-labs-скорость-и-глобальный-охват) 7. [Инструмент #4: Crystal Blockchain — прозрачность и визуализация](#инструмент-4-crystal-blockchain-прозрачность-и-визуализация) 8. [Инструмент #5: Arkham Intelligence — децентрализованный подход](#инструмент-5-arkham-intelligence-децентрализованный-подход) 9. [Инструмент #6: Nansen — аналитика для децентрализованных финансов](#инструмент-6-nansen-аналитика-для-децентрализованных-финансов) 10. [Инструмент #7: Dune Analytics — кастомные дашборды на SQL](#инструмент-7-dune-analytics-кастомные-дашборды-на-sql) 11. [Инструмент #8: Обозреватели блоков — бесплатный базовый уровень](#инструмент-8-обозреватели-блоков-бесплатный-базовый-уровень) 12. [Инструмент #9: The Graph — индексация и запросы к блокчейну](#инструмент-9-the-graph-индексация-и-запросы-к-блокчейну) 13. [Инструмент #10: Breadcrumb — визуальное расследование для команд](#инструмент-10-breadcrumb-визуальное-расследование-для-команд) 14. [Сравнительная таблица: функционал, цены, лучшие сценарии использования](#сравнительная-таблица-функционал-цены-лучшие-сценарии-использования) 15. [Практика: пошаговое расследование криптотранзакции](#практика-пошаговое-расследование-криптотранзакции) 16. [Интеграция и автоматизация: API, вебхуки, SIEM](#интеграция-и-автоматизация-api-вебхуки-siem) 17. [Юридические и этические аспекты блокчейн-анализа](#юридические-и-этические-аспекты-блокчейн-анализа) 18. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 19. [Заключение: Стратегия выбора инструментов в 2026 году](#заключение-стратегия-выбора-инструментов-в-2026-году) ### Введение: Почему блокчейн-анализ стал критически важным в 2026 году {#введение-почему-блокчейн-анализ-стал-критически-важным-в-2026-году} К 2026 году криптовалюты перестали быть маргинальным технологическим экспериментом. Общий объём рынка превысил $3 триллиона, ежедневный объём транзакций исчисляется сотнями миллиардов долларов, а криптовалюты интегрированы в традиционные финансовые системы, платёжные шлюзы и даже государственные цифровые валюты (CBDC). Параллельно с легитимным использованием растёт и криминальная активность: по данным отраслевых отчётов, объём незаконных криптотранзакций в 2025 году составил более $24 миллиардов. Проблема заключается в том, что традиционные методы финансового расследования часто неприменимы к криптосфере. Нет центрального регулятора, к которому можно направить запрос. Нет единой базы данных клиентов. Нет механизма заморозки счёта по судебному решению. Блокчейн — это децентрализованная, псевдоанонимная, глобальная система, где транзакции необратимы, а идентичность участников скрыта за криптографическими адресами. Однако псевдоанонимность — это не анонимность. Каждая транзакция в публичном блокчейне записывается навсегда и доступна для анализа любому пользователю сети. При правильном подходе эти данные позволяют: - Отслеживать движение украденных средств от момента взлома до точки обналичивания - Идентифицировать кластеры кошельков, принадлежащих одному субъекту - Определять связи между адресами, биржами, миксерами и нелегальными сервисами - Оценивать риски при взаимодействии с контрагентами в криптосфере - Формировать доказательную базу для правоохранительных органов и судов Блокчейн-анализ — это дисциплина на стыке криптографии, сетевого анализа, машинного обучения и финансового расследования. Современные инструменты автоматизируют рутинные задачи: кластеризацию адресов, обогащение данных метаданными, визуализацию графов транзакций, генерацию отчётов. Но эффективность расследования по-прежнему зависит от компетенции аналитика, понимания архитектуры блокчейнов и умения интерпретировать результаты. В этом руководстве мы детально разберём 10 лучших инструментов блокчейн-анализа в 2026 году. Вы узнаете, какие функции действительно важны для ваших задач, как сравнивать решения по функционалу и цене, как интегрировать инструменты в существующие процессы и как избежать типичных ошибок, которые сводят на нет усилия по расследованию. Материал основан на анализе официальной документации провайдеров, отчётах исследовательских групп (Chainalysis Crypto Crime Report, Elliptic Research, TRM Labs Threat Intelligence), интервью с практикующими аналитиками и реальном опыте внедрения инструментов в корпоративных и...

AdminForum AdminForum
23.04.2026
AML комплаенс Chainalysis Elliptic
175
0
Продолжить чтение
Фишинг в TikTok: Как мошенники используют комментарии для кражи данных — полное руководство 2026
Обсуждение

Фишинг в TikTok: Как мошенники используют комментарии для кражи данных — полное руководство 2026

### Содержание 1. [Введение: Почему комментарии в TikTok стали новой мишенью фишеров](#введение-почему-комментарии-в-tiktok-стали-новой-мишенью-фишеров) 2. [Архитектура фишинга в TikTok: как работают атаки через комментарии](#архитектура-фишинга-в-tiktok-как-работают-атаки-через-комментарии) 3. [Критерии оценки: 7 признаков фишингового комментария](#критерии-оценки-7-признаков-фишингового-комментария) 4. [Установка: настройка безопасности аккаунта перед анализом угроз](#установка-настройка-безопасности-аккаунта-перед-анализом-угроз) 5. [Интерфейс: как проверять комментарии и ссылки в TikTok](#интерфейс-как-проверять-комментарии-и-ссылки-в-tiktok) 6. [Практика: пошаговый разбор реального фишингового комментария](#практика-пошаговый-разбор-реального-фишингового-комментария) 7. [Продвинутые техники: анализ доменов, SSL и перенаправлений](#продвинутые-техники-анализ-доменов-ssl-и-перенаправлений) 8. [Типичные схемы мошенников: от «бесплатных монет» до «проверки аккаунта»](#типичные-схемы-мошенников-от-бесплатных-монет-до-проверки-аккаунта) 9. [Что делать, если вы перешли по фишинговой ссылке](#что-делать-если-вы-перешли-по-фишинговой-ссылке) 10. [Настройка приватности и уведомлений для предотвращения атак](#настройка-приватности-и-уведомлений-для-предотвращения-атак) 11. [Как сообщать о мошенниках в TikTok: пошаговая инструкция](#как-сообщать-о-мошенниках-в-tiktok-пошаговая-инструкция) 12. [Автоматизация защиты: фильтры, блокировки, сторонние инструменты](#автоматизация-защиты-фильтры-блокировки-сторонние-инструменты) 13. [Безопасность для родителей: защита детских аккаунтов](#безопасность-для-родителей-защита-детских-аккаунтов) 14. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 15. [Заключение: Системный подход к безопасности в TikTok 2026](#заключение-системный-подход-к-безопасности-в-tiktok-2026) ### Введение: Почему комментарии в TikTok стали новой мишенью фишеров {#введение-почему-комментарии-в-tiktok-стали-новой-мишенью-фишеров} TikTok с аудиторией более 1,7 миллиарда пользователей стал одной из самых привлекательных платформ для киберпреступников. Если раньше фишинг ассоциировался с поддельными письмами от банков или «письмами счастья» в мессенджерах, то в 2026 году злоумышленники переместились туда, где находится их целевая аудитория — в комментарии под популярными видео. Проблема заключается в том, что комментарии в TikTok воспринимаются пользователями как безопасная зона общения. Мы привыкли видеть здесь шутки, вопросы к автору, реакции на контент — и не ожидаем встретить угрозу. Мошенники этим пользуются: они создают комментарии, которые выглядят как обычные сообщения от других пользователей, но содержат скрытые призывы перейти по ссылке, ввести данные или скачать приложение. Дополнительную сложность добавляет психология платформы. TikTok построен на быстром потреблении контента: пользователи листают ленту, не задерживаясь надолго на одном видео. В таком режиме критическое мышление притупляется, и решение «кликнуть» принимается на автомате. Мошенники усиливают этот эффект, используя триггеры срочности («Только сегодня!»), жадности («Бесплатные монеты!») и любопытства («Смотри, что о тебе написали!»). Решение — не отказываться от платформы, а выработать навыки распознавания фишинга. В этом руководстве мы детально разберём, как работают атаки через комментарии, какие признаки выдают мошенников, как настроить безопасность аккаунта и что делать, если вы уже стали жертвой. Материал основан на отчётах исследователей кибербезопасности (Kaspersky, Group-IB, Meta Security), анализе реальных случаев фишинга в TikTok и официальных рекомендациях платформы. Для выполнения инструкций потребуется аккаунт TikTok и базовое понимание настроек приватности. Руководство актуально для версии приложения 2026 года и учитывает последние обновления механизмов безопасности. ### Архитектура фишинга в TikTok: как работают атаки через комментарии {#архитектура-фишинга-в-tiktok-как-работают-атаки-через-комментарии} Понимание механизма фишинговых атак критически важно для их распознавания. В отличие от традиционного фишинга, атаки через комментарии TikTok используют уникальные особенности платформы: виральность контента, доверие к «обычным пользователям» и ограничения на модерацию в реальном времени. Этапы типичной атаки через комментарии 1. Выбор цели Мошенники анализируют популярные видео с высокой активностью в комментариях. Идеальные цели: видео с хэштегами #бесплатно, #конкурс, #подарок, #акция, а также контент, связанный с финансами, играми или эксклюзивным контентом. 2. Создание фейкового комментария Комментарий формулируется так, чтобы вызвать доверие и любопытство: - Ссылка на «официальный» сайт с подарками - Упоминание известного бренда или инфлюенсера - Призыв к срочному действию («Успей до конца дня!») - Использование эмодзи для привлечения внимания 🔥💰🎁 3. Маскировка ссылки Ссылка в комментарии может быть: - Сокращена через bit.ly, tinyurl.com или другие сервисы - Замаскирована под легитимный домен...

AdminForum AdminForum
22.04.2026
безопасность соцсетей двухфакторная аутентификация защита аккаунта
142
0
Продолжить чтение
AI для обнаружения аномалий в сетевом трафике: от выбора алгоритма до production-развёртывания 2026
Обсуждение

AI для обнаружения аномалий в сетевом трафике: от выбора алгоритма до production-развёртывания 2026

### Оглавление [1. Введение: почему традиционные сигнатуры перестают работать](#intro) [2. Что такое аномалия в сетевом трафике: таксономия угроз](#taxonomy) [3. Алгоритмы ML для обнаружения аномалий: сравнительный обзор](#algorithms) [4. Сбор и подготовка данных: источники сетевого трафика](#data) [5. Признаки (features): что извлекать из трафика для ML](#features) [6. Supervised vs Unsupervised: выбор подхода под задачу](#supervised) [7. Установка и настройка рабочей среды: Python + Zeek + Suricata](#setup) [8. Практика: обнаружение аномалий на Python с примерами кода](#practice) [9. Интеграция с SIEM и SOAR: автоматизация реагирования](#siem) [10. Коммерческие и open-source платформы: сравнение решений](#platforms) [11. Продвинутые техники: автоэнкодеры, GNN, LLM для трафика](#advanced) [12. Типичные ошибки и как их избежать](#mistakes) [13. FAQ: 10 вопросов о AI-обнаружении аномалий](#faq) [14. Заключение и теги](#final) ## 1. Введение: почему традиционные сигнатуры перестают работать {#intro} Сетевая безопасность долгие годы строилась на сигнатурном подходе: правило для известной атаки → алерт при совпадении. Этот подход надёжен против известных угроз, но имеет фундаментальный изъян. По данным исследований Verizon DBIR 2025, среднее время между первым вторжением в сеть и его обнаружением составляет несколько недель — именно потому, что современные атаки не производят сигнатур, известных правилам IDS. Advanced Persistent Threat (APT) группировки специально адаптируют инструменты под конкретные организации, медленно перемещаются по сети, маскируя активность под легитимный трафик. Зашифрованный трафик (в 2026 году — более 95% всего HTTP-трафика) делает анализ содержимого пакетов невозможным без дешифрования. Новые протоколы, нестандартные порты, туннелирование через DNS и ICMP — всё это обходит сигнатурные правила. Машинное обучение меняет парадигму. Вместо вопроса «совпадает ли этот пакет с известной сигнатурой?» ML задаёт другой вопрос: «соответствует ли это поведение норме для данной сети?». Аномалия — любое отклонение от установленного базиса. Атака, которую никто ещё не видел, всё равно отклоняется от нормы. В этом руководстве рассматривается полный стек: от теоретических основ алгоритмов до рабочего кода на Python, интеграции с Zeek и Suricata, подключения к SIEM и продвинутых техник на базе нейронных сетей. > *⚠️ Все практические примеры предназначены для работы с собственной сетевой инфраструктурой или в авторизованных тестовых средах. Перехват и анализ чужого трафика без разрешения является нарушением законодательства.* ## 2. Что такое аномалия в сетевом трафике: таксономия угроз {#taxonomy} Прежде чем выбирать алгоритм, необходимо понять, какие именно аномалии мы ищем. Не все отклонения от нормы означают атаку — и не все атаки выглядят как явные отклонения. ### Три класса аномалий по характеру отклонения Точечные аномалии (Point Anomalies) — единичное наблюдение резко отличается от остальных. Пример: один хост генерирует 50 000 DNS-запросов за минуту вместо обычных 20. Хорошо обнаруживаются статистическими методами и алгоритмами типа Isolation Forest. Контекстуальные аномалии (Contextual Anomalies) — поведение нормально в одних условиях, но аномально в других. Пример: большой объём FTP-трафика в 3 часа ночи в воскресенье нормален для плановых резервных копий, но аномален в пиковое рабочее время. Требуют моделирования временны́х паттернов. Коллективные аномалии (Collective Anomalies) — ни одно отдельное наблюдение не выглядит аномальным, но группа наблюдений в совокупности — да. Пример: медленное горизонтальное сканирование (1 попытка в час на каждый хост) не детектируется по отдельному событию, но коллективно указывает на разведку. Требуют корреляции событий во времени. ### Категории угроз, обнаруживаемых ML | Категория угрозы | Что ищем | Тип аномалии | Сложность обнаружения | ||||| | DDoS и флуд-атаки | Аномальный объём трафика к одному хосту | Точечная | Низкая | | Port scanning / Nmap | Обращения к нестандартным портам, sweeping | Точечная / Коллективная | Средняя | | Exfiltration данных | Необычно большой исходящий поток к внешним IP | Контекстуальная | Средняя | | C2 beaconing | Периодические соединения через равные интервалы | Коллективная | Высокая | | Lateral movement | Необычные SMB/RDP соединения между внутренними хостами | Контекстуальная | Высокая | | DNS tunneling | Длинные поддомены, высокая энтропия DNS-запросов | Точечная | Средняя | | Slow & low атаки | Минимальные отклонения, растянутые во времени | Коллективная | Очень высокая | | Инсайдерские угрозы | Нетипичный доступ к ресурсам в нерабочее время | Контекстуальная | Очень высокая | > *💡 Ключевой вывод: разные классы аномалий требуют разных алгоритмов. Один универсальный детектор не решает все задачи — профессиональные системы строятся как ансамбль специализированных моделей.* ## 3. Алгоритмы ML для обнаружения аномалий: сравнительный обзор {#algorithms} В задаче обнаружения аномалий используется несколько семейств...

AdminForum AdminForum
21.04.2026
AI обнаружение аномалий трафик C2 beaconing detection CICIDS датасет обучение
310
0
Продолжить чтение
ddrescue: Профессиональное восстановление данных с повреждённых дисков — руководство по созданию образов 2026
Обсуждение

ddrescue: Профессиональное восстановление данных с повреждённых дисков — руководство по созданию образов 2026

### Содержание 1. [Введение: Зачем ddrescue, когда стандартные методы бессильны](#введение-зачем-ddrescue-когда-стандартные-методы-бессильны) 2. [Архитектура и философия ddrescue: как работает спасение данных на низком уровне](#архитектура-и-философия-ddrescue-как-работает-спасение-данных-на-низком-уровне) 3. [Подготовка к работе: выбор оборудования, файловых систем и безопасной среды](#подготовка-к-работе-выбор-оборудования-файловых-систем-и-безопасной-среды) 4. [Установка ddrescue: от репозиториев до компиляции из исходников](#установка-ddrescue-от-репозиториев-до-компиляции-из-исходников) 5. [Базовый синтаксис и первые шаги: запуск без риска для источника](#базовый-синтаксис-и-первые-шаги-запуск-без-риска-для-источника) 6. [Интерфейс и логирование: как читать progress, mapfile и статусы](#интерфейс-и-логирование-как-читать-progress-mapfile-и-статусы) 7. [Практика восстановления: пошаговое создание образа с повреждённого HDD](#практика-восстановления-пошаговое-создание-образа-с-повреждённого-hdd) 8. [Работа с SSD и NVMe: особенности, риски и оптимизация команд](#работа-с-ssd-и-nvme-особенности-риски-и-оптимизация-команд) 9. [Продвинутые техники: мультипасс, обрезка сбойных секторов, интеграция с TestDisk](#продвинутые-техники-мультипасс-обрезка-сбойных-секторов-интеграция-с-testdisk) 10. [ddrescue vs Clonezilla vs dd: сравнение в 2026 году](#ddrescue-vs-clonezilla-vs-dd-сравнение-в-2026-году) 11. [Мониторинг, диагностика и отладка процесса восстановления](#мониторинг-диагностика-и-отладка-процесса-восстановления) 12. [Безопасность данных: шифрование образов, верификация хешей и хранение](#безопасность-данных-шифрование-образов-верификация-хешей-и-хранение) 13. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 14. [Заключение: ddrescue как стандарт индустрии восстановления данных](#заключение-ddrescue-как-стандарт-индустрии-восстановления-данных) ### Введение: Зачем ddrescue, когда стандартные методы бессильны {#введение-зачем-ddrescue-когда-стандартные-методы-бессильны} Глобальная статистика потери данных показывает устойчивую тенденцию: более 70% случаев необратимой утери информации связаны не с физическим уничтожением накопителя, а с некорректными попытками копирования. Когда жёсткий диск начинает издавать щелчки, SSD перестает определяться в BIOS, или файловая система превращается в RAW, первый импульс пользователя — скопировать файлы стандартными средствами ОС, использовать встроенный dd или запустить Clonezilla для «полного клонирования». Этот подход ошибочен и часто приводит к полной потере данных. Почему так происходит? Классические утилиты копирования работают по принципу последовательного линейного чтения. При встрече с нечитаемым сектором они либо зависают на таймаутах, генерируя избыточную нагрузку на головку диска, либо прерывают операцию, оставляя образ незавершённым. dd (Unix-утилита) при ошибке чтения останавливается или заполняет пробелы нулями в зависимости от флагов, но не сохраняет карту сбойных зон. Clonezilla, будучи отличным инструментом для миграции и резервного копирования исправных дисков, использует посекторное копирование с жёсткой проверкой контрольных сумм. При обнаружении повреждённого сектора Clonezilla либо прекращает работу, либо копирует мусор, искажая структуру файловой системы и делая последующее восстановление практически невозможным. ddrescue (GNU ddrescue) решает эту проблему на архитектурном уровне. Это не просто «умный dd». Это специализированный инструмент, разработанный Антонио Диазом (Antonio Diaz Diaz) именно для работы с повреждёнными носителями. Его философия строится на трёх принципах: минимизация нагрузки на источник, сохранение состояния восстановления в карте (mapfile) и возможность многократного возврата к проблемным зонам без перезапуска операции. В 2026 году актуальность ddrescue только возрастает. Накопители становятся плотнее, контроллеры сложнее, а файловые системы (ZFS, Btrfs, exFAT) требуют строгой целостности метаданных. Повреждение нескольких кластеров в таблице MFT или суперблоке ext4 может сделать невидимыми терабайты данных. ddrescue позволяет создать «сырой» образ диска, игнорируя ошибки чтения, но сохраняя точную карту битых секторов. Этот образ в дальнейшем можно безопасно анализировать, монтировать в режиме только для чтения, извлекать файлы через photorec/testdisk или передавать в лаборатории криминалистики. Важное уточнение: ddrescue не «чинит» физические дефекты. Он не восстанавливает данные магнитным или электрическим способом. Он создаёт максимально полную копию того, что ещё можно прочитать, и делает это так, чтобы не добить умирающий диск. Это инструмент спасения, а не ремонта. В этом руководстве мы рассмотрим ddrescue во всей его глубине. Вы узнаете, как работает его трёхфазный алгоритм, как правильно подготовить оборудование, как читать логи и mapfile, как настраивать мультипассы для HDD и SSD, как интегрировать процесс с другими утилитами восстановления и как гарантировать целостность полученного образа. Материал...

AdminForum AdminForum
21.04.2026
Clonezilla data recovery ddrescue
166
0
Продолжить чтение
Как использовать GPU-Z для выявления подделок видеокарт: практическое руководство 2026
Обсуждение

Как использовать GPU-Z для выявления подделок видеокарт: практическое руководство 2026

### Содержание 1. [Введение: Почему поддельные видеокарты стали массовой проблемой](#введение-почему-поддельные-видеокарты-стали-массовой-проблемой) 2. [Что такое инструмент проверки и почему он незаменим](#что-такое-инструмент-проверки-и-почему-он-незаменим) 3. [Установка и первый запуск: подготовка к проверке](#установка-и-первый-запуск-подготовка-к-проверке) 4. [Интерфейс: навигация по вкладкам и параметрам](#интерфейс-навигация-по-вкладкам-и-параметрам) 5. [Ключевые параметры для проверки подлинности (топ-10 индикаторов)](#ключевые-параметры-для-проверки-подлинности-топ-10-индикаторов) 6. [Практика: пошаговый разбор реального примера подделки](#практика-пошаговый-разбор-реального-примера-подделки) 7. [Продвинутые техники: анализ подписи BIOS и сверка с эталоном](#продвинутые-техники-анализ-подписи-bios-и-сверка-с-эталоном) 8. [Сравнение с официальными характеристиками: где брать достоверные данные](#сравнение-с-официальными-характеристиками-где-брать-достоверные-данные) 9. [Типичные схемы мошенничества и как их распознать](#типичные-схемы-мошенничества-и-как-их-распознать) 10. [Что делать, если вы купили подделку: алгоритм действий](#что-делать-если-вы-купили-подделку-алгоритм-действий) 11. [Профилактика: как не купить подделку при покупке](#профилактика-как-не-купить-подделку-при-покупке) 12. [Альтернативные инструменты: когда одного анализа недостаточно](#альтернативные-инструменты-когда-одного-анализа-недостаточно) 13. [Безопасность: риски использования непроверенных утилит](#безопасность-риски-использования-непроверенных-утилит) 14. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 15. [Заключение: Безопасная покупка видеокарты в 2026 году](#заключение-безопасная-покупка-видеокарты-в-2026-году) ### Введение: Почему поддельные видеокарты стали массовой проблемой {#введение-почему-поддельные-видеокарты-стали-массовой-проблемой} Рынок видеокарт в 2026 году переживает беспрецедентный рост мошенничества. Дефицит новых моделей, высокие цены на топовые решения и популярность вторичного рынка создали идеальные условия для продавцов подделок. По данным отраслевых отчётов, каждая третья видеокарта, продаваемая на непроверенных площадках, может быть подделкой или существенно модифицированным устройством. Проблема усугубляется тем, что современные подделки стали крайне качественными. Мошенники используют: - Перепрошитые бюджетные чипы: карта на базе дешёвого чипа (например, начального уровня) перепрошивается так, чтобы определяться в системе как мощная модель - Перемаркировку чипов: физическая замена маркировки на кристалле - Модифицированный BIOS: изменение идентификаторов устройства, частот, объёма памяти - Качественную реплику упаковки: поддельные коробки, наклейки, пломбы, неотличимые от оригинала на глаз Визуальный осмотр часто не помогает: поддельная карта может иметь правильную систему охлаждения, разъёмы питания, даже серийный номер в базе данных производителя (украденный с настоящей карты). Покупатель обнаруживает проблему только после установки — когда карта не запускает современные игры, показывает артефакты или вообще не определяется системой. Решение — техническая проверка через специализированный софт. Специализированные утилиты считывают информацию напрямую с чипа видеокарты, минуя драйверы и операционную систему, что делает проверку устойчивой к большинству методов подделки. В этом руководстве мы детально разберём, как использовать профессиональные утилиты для выявления подделок. Вы узнаете, какие параметры проверять в первую очередь, как интерпретировать полученные данные, где брать эталонные значения для сравнения и что делать, если подделка уже куплена. Материал основан на реальном опыте проверки сотен видеокарт, анализе случаев мошенничества и официальной документации производителей. ### Что такое инструмент проверки и почему он незаменим {#что-такое-инструмент-проверки-и-почему-он-незаменим} Специализированные утилиты диагностики — это бесплатный софт, предназначенный для получения детальной информации о видеокарте. Такие инструменты стали де-факто стандартом для диагностики, разгона и проверки подлинности видеокарт всех основных производителей. Ключевые особенности, важные для выявления подделок: 1. Прямой доступ к аппаратным данным: Утилита считывает информацию напрямую из регистров графического процессора, минуя драйверы. Это означает, что даже если драйвер «обманывает» систему, показывая неверное название модели, утилита покажет реальные характеристики чипа. 2. Проверка подписи BIOS: Утилита может верифицировать цифровую подпись прошивки видеокарты. Поддельные или модифицированные BIOS часто не имеют валидной подписи или используют украденные ключи. 3. Детальная информация о памяти: Тип памяти, производитель чипов памяти, реальная частота, ширина шины — параметры, которые сложно подделать программно. 4. Сравнение с базой данных: Встроенная функция отправки отчёта на сервер разработчика позволяет сверить параметры вашей карты с эталонными значениями из базы данных. 5....

AdminForum AdminForum
20.04.2026
GPU-Z анализ видеокарты идентификация видеокарты
197
0
Продолжить чтение
Google-аккаунт: Надёжная проверка на компрометацию через троян — 7 практических шагов без смены пароля 2026
Обсуждение

Google-аккаунт: Надёжная проверка на компрометацию через троян — 7 практических шагов без смены пароля 2026

### Содержание 1. [Введение: Почему смена пароля не защищает от троянов](#введение-почему-смена-пароля-не-защищает-от-троянов) 2. [Архитектура доступа к аккаунту Google: токены, сессии, OAuth](#архитектура-доступа-к-аккаунту-google-токены-сессии-oauth) 3. [Шаг 1: Проверка активных сессий и устройств](#шаг-1-проверка-активных-сессий-и-устройств) 4. [Шаг 2: Аудит выданных токенов и приложений](#шаг-2-аудит-выданных-токенов-и-приложений) 5. [Шаг 3: Анализ журналов активности и подозрительных событий](#шаг-3-анализ-журналов-активности-и-подозрительных-событий) 6. [Шаг 4: Проверка правил пересылки и фильтров почты](#шаг-4-проверка-правил-пересылки-и-фильтров-почты) 7. [Шаг 5: Аудит подключённых сервисов и расширений браузера](#шаг-5-аудит-подключённых-сервисов-и-расширений-браузера) 8. [Шаг 6: Мониторинг через Google Takeout и API-журналы](#шаг-6-мониторинг-через-google-takeout-и-апи-журналы) 9. [Шаг 7: Отзыв токенов и принудительная переаутентификация](#шаг-7-отзыв-токенов-и-принудительная-переаутентификация) 10. [Продвинутые техники: анализ заголовков, API-ключей, вебхуков](#продвинутые-техники-анализ-заголовков-апи-ключей-вебхуков) 11. [Автоматизация мониторинга: скрипты, алерты, интеграции](#автоматизация-мониторинга-скрипты-алерты-интеграции) 12. [Безопасность после очистки: настройка расширенной защиты](#безопасность-после-очистки-настройка-расширенной-защиты) 13. [Типичные ошибки при диагностике компрометации](#типичные-ошибки-при-диагностике-компрометации) 14. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 15. [Заключение: Системный подход к защите аккаунта](#заключение-системный-подход-к-защите-аккаунта) ### Введение: Почему смена пароля не защищает от троянов {#введение-почему-смена-пароля-не-защищает-от-троянов} Традиционные рекомендации по защите аккаунтов — «используйте сложный пароль», «включите двухфакторную аутентификацию», «не переходите по подозрительным ссылкам» — остаются актуальными, но уже недостаточными в 2026 году. Современные трояны, такие как Anubis, Cerberus, Vultur и их модификации, атакуют не через подбор паролей, а через кражу сессионных данных: OAuth-токенов, refresh-токенов, cookies аутентификации и аппаратных идентификаторов. Проблема заключается в том, что эти токены позволяют злоумышленнику получать доступ к аккаунту без ввода пароля и без срабатывания стандартных уведомлений о «новом входе». Троян может оставаться в аккаунте неделями, незаметно пересылая письма, получая доступ к облачным хранилищам, используя аккаунт для фишинговых атак или майнинга криптовалюты — при этом пароль жертвы остаётся неизменным, а двухфакторная аутентификация — включённой. Решение — системная диагностика аккаунта, выходящая за рамки простой смены пароля. В этом руководстве мы рассмотрим 7 практических шагов, которые позволяют выявить и устранить компрометацию даже при неизменном пароле. Вы узнаете, как анализировать активные сессии, как находить и отзывать скомпрометированные токены, как проверять правила пересылки почты и фильтры, настроенные злоумышленником, как мониторить подозрительную активность через журналы Google и как настроить расширенную защиту для предотвращения повторной компрометации. Материал основан на официальной документации Google, отчётах исследователей безопасности (Google Threat Analysis Group, Mandiant, Kaspersky) и реальном опыте расследования инцидентов. Все инструкции проверены на актуальность интерфейсов и настроек по состоянию на январь 2026 года. Для выполнения шагов потребуется доступ к аккаунту Google (даже если он скомпрометирован) и базовое понимание принципов работы веб-аутентификации. ### Архитектура доступа к аккаунту Google: токены, сессии, OAuth {#архитектура-доступа-к-аккаунту-google-токены-сессии-oauth} Понимание механизмов аутентификации в экосистеме Google критически важно для эффективной диагностики компрометации. В отличие от простых систем с парольной аутентификацией, Google использует многоуровневую систему токенов и сессий, каждый элемент которой может стать вектором атаки. Типы токенов и их уязвимости | Тип токена | Назначение | Срок жизни | Риск компрометации | |-----------|-----------|-----------|-------------------| |Access Token | Краткосрочный доступ к API Google | 1 час | Низкий (быстро истекает) | |Refresh Token | Получение новых access-токенов без ввода пароля | До отзыва пользователем | Высокий (долгосрочный доступ) | |Session Cookie | Поддержание веб-сессии в браузере | До выхода из аккаунта или истечения | Средний (зависит от настроек) | |OAuth Consent Token | Доступ сторонних приложений к данным | До отзыва в настройках | Высокий (широкие права) | |Device Sync Token | Синхронизация данных между устройствами | До смены пароля или отзыва | Средний | Как трояны крадут токены Современные мобильные и десктопные трояны используют следующие техники: 1.Accessibility Service Abuse (Android): троян запрашивает разрешение на специальные возможности, затем перехватывает токены, вводимые пользователем, или крадёт cookies из памяти...

AdminForum AdminForum
20.04.2026
активность аккаунта анализ сессий безопасность аккаунта
125
0
Продолжить чтение
Анализ подозрительных APK: Надёжное сравнение 6 бесплатных инструментов без установки - руководство 2026
Обсуждение

Анализ подозрительных APK: Надёжное сравнение 6 бесплатных инструментов без установки - руководство 2026

### Содержание 1. [Введение: Почему статический анализ APK без установки — единственный безопасный подход](#введение-почему-статический-анализ-apk-без-установки--единственный-безопасный-подход) 2. [Архитектура APK: что можно извлечь без запуска приложения](#архитектура-apk-что-можно-извлечь-без-запуска-приложения) 3. [Критерии оценки: 8 параметров для выбора инструмента анализа](#критерии-оценки-8-параметров-для-выбора-инструмента-анализа) 4. [Инструмент 1: APKTool — декомпиляция ресурсов и манифеста](#инструмент-1-apktool--декомпиляция-ресурсов-и-манифеста) 5. [Инструмент 2: JADX — просмотр исходного кода Java/Kotlin](#инструмент-2-jadx--просмотр-исходного-кода-javakotlin) 6. [Инструмент 3: MobSF — автоматизированный security-аудит](#инструмент-3-mobsf--автоматизированный-security-аудит) 7. [Инструмент 4: VirusTotal — мульти-сканер и репутационный анализ](#инструмент-4-virustotal--мульти-сканер-и-репутационный-анализ) 8. [Инструмент 5: Androguard — Python-фреймворк для программистов](#инструмент-5-androguard--python-фреймворк-для-программистов) 9. [Инструмент 6: Bytecode Viewer — визуальный анализ байт-кода](#инструмент-6-bytecode-viewer--визуальный-анализ-байт-кода) 10. [Сравнительная таблица: функционал, точность, скорость, сложность](#сравнительная-таблица-функционал-точность-скорость-сложность) 11. [Установка: настройка рабочей станции для анализа без риска](#установка-настройка-рабочей-станции-для-анализа-без-риска) 12. [Интерфейсы: сравнение UX и удобства для разных сценариев](#интерфейсы-сравнение-ux-и-удобства-для-разных-сценариев) 13. [Практика: пошаговый разбор подозрительного банковского трояна](#практика-пошаговый-разбор-подозрительного-банковского-трояна) 14. [Продвинутые техники: обфускация, нативные библиотеки, динамическая загрузка](#продвинутые-техники-обфускация-нативные-библиотеки-динамическая-загрузка) 15. [Автоматизация: скрипты, API и интеграция с SOC-пайплайнами](#автоматизация-скрипты-api-и-интеграция-с-soc-пайплайнами) 16. [Безопасность и юридические аспекты анализа чужих приложений](#безопасность-и-юридические-аспекты-анализа-чужих-приложений) 17. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 18. [Заключение: Выбор инструмента под ваши задачи в 2026 году](#заключение-выбор-инструмента-под-ваши-задачи-в-2026-году) ### Введение: Почему статический анализ APK без установки — единственный безопасный подход {#введение-почему-статический-анализ-apk-без-установки--единственный-безопасный-подход} Мобильные приложения стали основным вектором атак на пользователей и корпоративные данные. Банковские трояны, шпионские модули, трояны-шифровальщики и рекламное ПО массово распространяются через сторонние магазины, фишинговые ссылки и поддельные обновления легитимных приложений. При этом традиционные антивирусы на устройствах часто не справляются: обфускация кода, полиморфные нагрузки, проверка окружения на наличие эмулятора и отложенная активация вредоносной логики позволяют вредоносу оставаться незамеченным до момента выполнения целевого действия. Проблема усугубляется тем, что для анализа поведения приложения многие исследователи устанавливают его на тестовое устройство или в эмулятор. Но это создаёт риск: даже в изолированной среде вредонос может попытаться получить доступ к сети, контактам, файлам или использовать уязвимости для эскалации привилегий. Для аналитиков, исследователей и обычных пользователей, получивших подозрительный APK, установка — неприемлемый риск. Решение — статический анализ: изучение структуры, кода, ресурсов и метаданных APK без его запуска. Современные инструменты позволяют извлечь манифест, декомпилировать код в читаемый Java/Kotlin, проанализировать разрешения, найти хардкодированные URL, ключи шифрования и сигнатуры вредоносной активности — всё без выполнения одной строки кода приложения. Преимущества подхода: - Безопасность: нулевой риск заражения анализирующей системы - Воспроизводимость: результаты не зависят от состояния эмулятора или времени выполнения - Скорость: анализ занимает секунды-минуты, а не часы динамического запуска - Автоматизация: инструменты поддерживают CLI, API и интеграцию в пайплайны В этом руководстве мы сравним 6 бесплатных инструментов для статического анализа APK: APKTool, JADX, MobSF, VirusTotal, Androguard и Bytecode Viewer. Вы узнаете, как установить и настроить каждый из них, в каких сценариях какой инструмент эффективнее, как извлечь максимум информации из подозрительного образца и как автоматизировать процесс для массового анализа. Материал опирается на официальную документацию инструментов, реальные кейсы анализа вредоносных приложений и лучшие практики мобильной безопасности. ### Архитектура APK: что можно извлечь без запуска приложения {#архитектура-apk-что-можно-извлечь-без-запуска-приложения} APK (Android Package) — это архивный формат на основе ZIP, содержащий все компоненты приложения: код, ресурсы, манифест, нативные библиотеки и метаданные. Понимание структуры APK критически важно для эффективного...

AdminForum AdminForum
20.04.2026
Androguard Android форензика apktool
147
0
Продолжить чтение
100+ Шаблонов вопросов по типу обстоятельств в компьютерно-технической экспертизе 2026
Обсуждение

100+ Шаблонов вопросов по типу обстоятельств в компьютерно-технической экспертизе 2026

### Содержание 1. [Введение: Почему формулировка вопросов определяет исход цифрового дела](#введение-почему-формулировка-вопросов-определяет-исход-цифрового-дела) 2. [📁 Раздел 1: Обстоятельства создания, модификации и удаления файлов (20 шаблонов)](#раздел-1-обстоятельства-создания-модификации-и-удаления-файлов-20-шаблонов) 3. [👤 Раздел 2: Обстоятельства пользовательской активности и доступа (15 шаблонов)](#раздел-2-обстоятельства-пользовательской-активности-и-доступа-15-шаблонов) 4. [🌐 Раздел 3: Обстоятельства сетевой активности и коммуникаций (15 шаблонов)](#раздел-3-обстоятельства-сетевой-активности-и-коммуникаций-15-шаблонов) 5. [🦠 Раздел 4: Обстоятельства вредоносной активности и инцидентов безопасности (15 шаблонов)](#раздел-4-обстоятельства-вредоносной-активности-и-инцидентов-безопасности-15-шаблонов) 6. [📱 Раздел 5: Обстоятельства, связанные с мобильными устройствами (10 шаблонов)](#раздел-5-обстоятельства-связанные-с-мобильными-устройствами-10-шаблонов) 7. [☁️ Раздел 6: Обстоятельства облачных сервисов и синхронизации (10 шаблонов)](#раздел-6-обстоятельства-облачных-сервисов-и-синхронизации-10-шаблонов) 8. [🔍 Раздел 7: Обстоятельства метаданных и временных меток (10 шаблонов)](#раздел-7-обстоятельства-метаданных-и-временных-меток-10-шаблонов) 9. [📄 Раздел 8: Обстоятельства подлинности и целостности документов (10 шаблонов)](#раздел-8-обстоятельства-подлинности-и-целостности-документов-10-шаблонов) 10. [🗄️ Раздел 9: Обстоятельства баз данных и приложений (10 шаблонов)](#раздел-9-обстоятельства-баз-данных-и-приложений-10-шаблонов) 11. [🔐 Раздел 10: Обстоятельства шифрования и защиты данных (10 шаблонов)](#раздел-10-обстоятельства-шифрования-и-защиты-данных-10-шаблонов) 12. [⚙️ Технические рекомендации по использованию шаблонов](#технические-рекомендации-по-использованию-шаблонов) 13. [Практика: Пошаговый алгоритм валидации вопросов](#практика-пошаговый-алгоритм-валидации-вопросов) 14. [Продвинутые техники: Работа с облаками, блокчейном и ИИ-контентом](#продвинутые-техники-работа-с-облаками-блокчейном-и-ии-контентом) 15. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 16. [Заключение: Системный подход к цифровому доказыванию](#заключение-системный-подход-к-цифровому-доказыванию) ### Введение: Почему формулировка вопросов определяет исход цифрового дела {#введение-почему-формулировка-вопросов-определяет-исход-цифрового-дела} Цифровые доказательства прочно вошли в практику всех видов судопроизводства. Смартфоны, ноутбуки, серверы, облачные аккаунты, IoT-устройства и корпоративные системы хранения данных стали неотъемлемыми источниками информации по делам о мошенничестве, утечках коммерческой тайны, трудовых спорах, семейных конфликтах и административных правонарушениях. Однако сам по себе цифровой носитель не доказывает факты — доказательственную силу приобретают только правильно интерпретированные данные, зафиксированные в заключении эксперта. Ключевым звеном между обстоятельствами дела и техническими возможностями эксперта является правильно сформулированный вопрос. Проблема заключается в системном разрыве между юридической и технической компетенциями. Следователи, адвокаты, судьи и корпоративные юристы редко владеют глубокими знаниями в области файловой системы, журналирования ОС, алгоритмов восстановления удалённых данных, принципов работы облачных синхронизаций или метаданных современных форматов. В результате в постановлениях о назначении компьютерно-технической экспертизы появляются вопросы, выходящие за пределы специальных знаний: «установить умысел», «определить виновность», «подтвердить факт хищения». Такие вопросы нарушают ст. 8 УПК РФ, ст. 82 ГПК РФ, ст. 83 АПК РФ, принцип научной обоснованности экспертизы и требования ФЗ-73. Эксперт либо вынужден отказаться от их исследования, либо даёт размытые ответы, которые суд впоследствии признаёт недопустимыми доказательствами. Решение — внедрение структурированного алгоритма формулировки вопросов, основанного на классификации обстоятельств, технических возможностях экспертных методик и процессуальных требованиях. В данном руководстве собрано 125 готовых шаблонов, сгруппированных по 10 ключевым типам цифровых следов. Каждый шаблон сформулирован в технически проверяемой форме, соответствует пределам компетенции эксперта и требованиям процессуального законодательства РФ. Вы узнаете, как адаптировать шаблоны под конкретное дело, как проверить их на допустимость, как оформить приложение к постановлению и как избежать типичных ошибок, сводящих защиту на нет. Материал опирается на действующее законодательство, методические рекомендации Минюста России и международные стандарты цифровой криминалистики. ### 📁 Раздел 1: Обстоятельства создания, модификации и удаления файлов (20 шаблонов) {#раздел-1-обстоятельства-создания-модификации-и-удаления-файлов-20-шаблонов} 1. Имеются ли на представленном носителе файлы с именами `[указать имена]`? Укажите их полные пути, размеры и хеш-суммы SHA-256. 2. Каковы даты и время создания, последнего изменения...

AdminForum AdminForum
17.04.2026
анализ метаданных вопросы эксперту компьютерно-техническая экспертиза
90
0
Продолжить чтение
Мобильный sandbox для анализа банковского вредняка: сравнение Any.Run, Joe и Hatching — руководство 2026
Обсуждение

Мобильный sandbox для анализа банковского вредняка: сравнение Any.Run, Joe и Hatching — руководство 2026

### Содержание 1. [Введение: Зачем нужен мобильный sandbox для анализа банковских троянов](#введение-зачем-нужен-мобильный-sandbox-для-анализа-банковских-троянов) 2. [Архитектура мобильных sandbox: эмуляция, виртуализация и реальные устройства](#архитектура-мобильных-sandbox-эмуляция-виртуализация-и-реальные-устройства) 3. [Подготовка к анализу: сбор образцов, классификация и безопасность](#подготовка-к-анализу-сбор-образцов-классификация-и-безопасность) 4. [Any.Run: интерфейс, возможности и настройка интерактивного анализа](#anyrun-интерфейс-возможности-и-настройка-интерактивного-анализа) 5. [Joe Sandbox: глубина анализа, кастомизация и enterprise-функции](#joe-sandbox-глубина-анализа-кастомизация-и-enterprise-функции) 6. [Hatching Triage: скорость, автоматизация и масштабируемость](#hatching-triage-скорость-автоматизация-и-масштабируемость) 7. [Практика: пошаговый анализ банковского трояна в Any.Run](#практика-пошаговый-анализ-банковского-трояна-в-anyrun) 8. [Практика: глубокий анализ в Joe Sandbox с кастомным профилем](#практика-глубокий-анализ-в-joe-sandbox-с-кастомным-профилем) 9. [Практика: массовый анализ и автоматизация в Hatching Triage](#практика-массовый-анализ-и-автоматизация-в-hatching-triage) 10. [Сравнительный анализ: функционал, точность, цена и интеграции](#сравнительный-анализ-функционал-точность-цена-и-интеграции) 11. [Продвинутые техники: обход anti-sandbox и анализ зашифрованного C2](#продвинутые-техники-обход-anti-sandbox-и-анализ-зашифрованного-c2) 12. [Автоматизация: скрипты, API и интеграция с SOAR/SIEM](#автоматизация-скрипты-api-и-интеграция-с-soarsiem) 13. [Безопасность и юридические аспекты работы с вредоносными образцами](#безопасность-и-юридические-аспекты-работы-с-вредоносными-образцами) 14. [Мониторинг качества анализа: метрики, валидация и отчётность](#мониторинг-качества-анализа-метрики-валидация-и-отчётность) 15. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 16. [Заключение: Выбор платформы для мобильного анализа в 2026 году](#заключение-выбор-платформы-для-мобильного-анализа-в-2026-году) ### Введение: Зачем нужен мобильный sandbox для анализа банковских троянов {#введение-зачем-нужен-мобильный-sandbox-для-анализа-банковского-троянов} Банковские трояны для мобильных платформ представляют собой одну из наиболее опасных и быстроразвивающихся угроз в кибербезопасности. В отличие от десктопного вредоносного ПО, мобильные банковские трояны эксплуатируют уникальные возможности смартфонов: доступ к SMS для обхода двухфакторной аутентификации, наложение фишинговых окон поверх легитимных приложений, перехват биометрических данных, использование служб доступности (Accessibility Services) для автоматизации действий от имени пользователя. Эти техники делают мобильные атаки особенно эффективными и сложными для обнаружения традиционными антивирусными решениями. Проблема заключается в том, что статический анализ — изучение кода без запуска приложения — часто не раскрывает поведенческие индикаторы компрометации (IOC). Вредоносные приложения используют обфускацию, динамическую загрузку кода, проверку окружения на наличие отладчика или эмулятора, и активацию вредоносной логики только при выполнении определённых условий (геолокация, язык системы, установленные приложения). Без динамического анализа в контролируемой среде аналитик рискует пропустить критические этапы атаки. Мобильный sandbox решает эту проблему, предоставляя изолированное окружение для безопасного запуска подозрительных приложений с полным мониторингом системных вызовов, сетевого трафика, доступа к файлам и взаимодействия с пользователем. Однако выбор между популярными платформами — Any.Run, Joe Sandbox и Hatching Triage — требует понимания их архитектурных различий, возможностей кастомизации, моделей ценообразования и интеграционных возможностей. Преимущества системного подхода к выбору и использованию мобильного sandbox: - Точность обнаружения: поведенческий анализ выявляет техники, невидимые для сигнатурных сканеров - Экономия времени: автоматизированные отчёты с извлечёнными IOC ускоряют реагирование - Масштабируемость: API и вебхуки позволяют встроить анализ в существующие SOC-пайплайны - Юридическая значимость: детальные логи и воспроизводимые сценарии важны для расследований В этом руководстве мы подробно сравним три ведущие платформы для анализа мобильного вредоносного ПО, разберём практические сценарии анализа банковских троянов, покажем методы обхода anti-sandbox техник и предоставим готовые скрипты для автоматизации. Материал опирается на официальную документацию платформ, реальные кейсы из практики SOC-команд и стандарты MITRE ATT&CK для мобильных платформ. Для выполнения инструкций потребуется базовое понимание принципов работы Android/iOS, знакомство с форматами отчётов о вредоносном ПО и доступ к одной из рассматриваемых платформ (бесплатные тарифы подойдут для обучения). ### Архитектура мобильных sandbox: эмуляция, виртуализация и реальные устройства...

AdminForum AdminForum
15.04.2026
Any.Run обзор Hatching Triage IOC извлечение
326
0
Продолжить чтение
Android Recycle Bin: способ обнаружения следов стирания данных - руководство по мобильной криминалистике 2026
Обсуждение

Android Recycle Bin: способ обнаружения следов стирания данных - руководство по мобильной криминалистике 2026

### Содержание 1. [Введение: Зачем искать следы стирания в Android Recycle Bin и в чём сложность](#введение-зачем-искать-следы-стирания-в-android-recycle-bin-и-в-чём-сложность) 2. [Архитектура Android: как работает корзина и куда удаляются данные](#архитектура-android-как-работает-корзина-и-куда-удаляются-данные) 3. [Подготовка окружения: установка ADB, Python-скриптов и forensic-утилит](#подготовка-окружения-установка-adb-python-скриптов-и-forensic-утилит) 4. [Интерфейс анализа: выбор инструментов и настройка рабочей станции](#интерфейс-анализа-выбор-инструментов-и-настройка-рабочей-станции) 5. [Получение дампа системы: безопасное извлечение логов и кэша](#получение-дампа-системы-безопасное-извлечение-логов-и-кэша) 6. [Базовый парсинг: структура журналов и поиск записей MediaStore](#базовый-парсинг-структура-журналов-и-поиск-записей-mediastore) 7. [Практика: анализ SQLite-баз данных и файловых метаданных](#практика-анализ-sqlite-баз-данных-и-файловых-метаданных) 8. [Продвинутые техники: восстановление фрагментов, анализ F2FS/EXT4 и журнал транзакций](#продвинутые-техники-восстановление-фрагментов-анализ-f2fsext4-и-журнал-транзакций) 9. [Работа с облачными корзинами и синхронизацией Google/Производителей](#работа-с-облачными-корзинами-и-синхронизацией-googleпроизводителей) 10. [Автоматизация процесса: скрипты, пайплайны и batch-обработка](#автоматизация-процесса-скрипты-пайплайны-и-batch-обработка) 11. [Безопасность и юридические аспекты: цепочка custody, хеширование и протоколирование](#безопасность-и-юридические-аспекты-цепочка-custody-хеширование-и-протоколирование) 12. [Мониторинг и отладка: логирование, тесты и оптимизация анализа](#мониторинг-и-отладка-логирование-тесты-и-оптимизация-анализа) 13. [Интеграция с forensic-платформами: Autopsy, Cellebrite, Magnet AXIOM](#интеграция-с-forensic-платформами-autopsy-cellebrite-magnet-axiom) 14. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 15. [Заключение: Будущее мобильной криминалистики и анализа корзины в 2026 году](#заключение-будущее-мобильной-криминалистики-и-анализа-корзины-в-2026-году) ### Введение: Зачем искать следы стирания в Android Recycle Bin и в чём сложность {#введение-зачем-искать-следы-стирания-в-android-recycle-bin-и-в-чём-сложность} В современных расследованиях, связанных с утечкой данных, корпоративными инцидентами или гражданскими спорами, Android-устройства часто становятся ключевым источником цифровых улик. При этом пользователи активно используют функцию «Корзины» (Recycle Bin / Trash), предполагая, что она гарантирует временное хранение файлов перед окончательным удалением. Однако с точки зрения мобильной криминалистики, корзина Android — это не единая папка, а распределённая система метаданных, журналов и скрытых резервных копий, которая оставляет обширные следы даже после «очистки». Проблема заключается в том, что начиная с Android 10, Google внедрила модель ограниченного доступа к хранилищу (Scoped Storage), переработала архитектуру MediaStore и изменила механизм работы с удалёнными файлами. Вместо прямого перемещения в `/storage/emulated/0/.Trash`, система использует логический флаг `IS_TRASHED` в базе данных `MediaProvider`, временные ярлыки, кэшированные превью и журналы транзакций файловой системы. При ручном анализе через проводник или стандартные инструменты восстановления эти следы часто остаются незамеченными, что приводит к ложным выводам о «полном удалении» данных. Дополнительную сложность добавляют особенности файловых систем: F2FS (Flash-Friendly File System) и EXT4, используемые на современных устройствах, применяют журналирование, отложенную запись и механизмы checkpointing, которые сохраняют фрагменты удалённых блоков в служебных разделах до момента принудительного освобождения пространства. Попытка извлечь данные без понимания этих механизмов ведёт к повреждению метаданных, нарушению цепочки custody и потере юридической значимости результатов. Решение — системный, криминалистически корректный подход к анализу корзины Android: от безопасного извлечения логических и физических образов до парсинга SQLite-баз, анализа WAL-файлов, проверки журналов файловой системы и автоматизированного сопоставления метаданных. Преимущества такого пайплайна очевидны: возможность восстановления временной шкалы удаления, доказательство факта сокрытия данных, юридически значимая фиксация результатов и минимизация риска повреждения оригинального носителя. В этом руководстве мы подробно разберём каждый этап работы: от подготовки forensic-окружения и установки ADB/Python-утилит до продвинутого анализа F2FS/EXT4, интеграции с Autopsy и автоматизации массового парсинга. Материал опирается на официальную документацию Android Open Source Project (AOSP), стандарты NIST SP 800-86 и ISO/IEC 27037, а также проверенные практики мобильной криминалистики. Для выполнения инструкций потребуются базовые навыки работы с командной строкой, понимание принципов реляционных баз данных и знание основ файловой журналирования. Мы уделим особое...

AdminForum AdminForum
15.04.2026
ADB команды Android криминалистика Autopsy
215
0
Продолжить чтение
Руководство по Извлечению видео с повреждённого DVR-диска: создание образа, парсинг проприетарных форматов, конвертация в MP4.
Обсуждение

Руководство по Извлечению видео с повреждённого DVR-диска: создание образа, парсинг проприетарных форматов, конвертация в MP4.

### Содержание 1. [Введение: Зачем извлекать видео с повреждённого DVR-диска и в чём сложность](#введение-зачем-извлекать-видео-с-повреждённого-dvr-диска-и-в-чём-сложность) 2. [Архитектура хранения данных DVR: форматы файлов, файловые системы и структуры записи](#архитектура-хранения-данных-dvr-форматы-файлов-файловые-системы-и-структуры-записи) 3. [Подготовка рабочего окружения: установка Linux, утилит и зависимостей](#подготовка-рабочего-окружения-установка-linux-утилит-и-зависимостей) 4. [Интерфейс восстановления: выбор инструментов и настройка рабочей станции](#интерфейс-восстановления-выбор-инструментов-и-настройка-рабочей-станции) 5. [Аппаратная диагностика: проверка диска, адаптеров и интерфейсов подключения](#аппаратная-диагностика-проверка-диска-адаптеров-и-интерфейсов-подключения) 6. [Создание побитового образа: dd, ddrescue и безопасное клонирование](#создание-побитового-образа-dd-ddrescue-и-безопасное-клонирование) 7. [Базовый парсинг образа: поиск сигнатур, заголовков и структур DVR](#базовый-парсинг-образа-поиск-сигнатур-заголовков-и-структур-dvr) 8. [Практика извлечения: восстановление файловых систем и ручная сборка видео](#практика-извлечения-восстановление-файловых-систем-и-ручная-сборка-видео) 9. [Продвинутые техники: декодирование проприетарных форматов и восстановление фрагментов](#продвинутые-техники-декодирование-проприетарных-форматов-и-восстановление-фрагментов) 10. [Работа с битыми секторами и повреждённой таблицей разделов](#работа-с-битыми-секторами-и-повреждённой-таблицей-разделов) 11. [Автоматизация процесса: скрипты, пайплайны и batch-обработка](#автоматизация-процесса-скрипты-пайплайны-и-batch-обработка) 12. [Безопасность и юридические аспекты: цепочка custody, хеширование и протоколирование](#безопасность-и-юридические-аспекты-цепочка-custody-хеширование-и-протоколирование) 13. [Мониторинг и отладка: логирование, тесты и оптимизация восстановления](#мониторинг-и-отладка-логирование-тесты-и-оптимизация-восстановления) 14. [Интеграция с системами видеонаблюдения: конвертация в MP4/AVI и экспорт](#интеграция-с-системами-видеонаблюдения-конвертация-в-mp4avi-и-экспорт) 15. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 16. [Заключение: Будущее восстановления данных с DVR в 2026 году](#заключение-будущее-восстановления-данных-с-dvr-в-2026-году) ### Введение: Зачем извлекать видео с повреждённого DVR-диска и в чём сложность {#введение-зачем-извлекать-видео-с-повреждённого-dvr-диска-и-в-чём-сложность} Системы видеонаблюдения на базе цифровых видеорегистраторов (DVR) десятилетиями остаются стандартом для обеспечения безопасности на объектах различного масштаба. От небольших магазинов до промышленных предприятий и государственных учреждений — записи с DVR часто становятся ключевым доказательством при расследованиях, страховых случаях и внутренних проверках. Однако физический износ дисков, сбои питания, перегрев контроллеров и циклическая перезапись приводят к тому, что носители выходят из строя в самый критический момент. В таких ситуациях возникает задача извлечения видеозаписей с повреждённого DVR-жёсткого диска, решение которой требует не просто использования стандартных утилит восстановления, а глубокого понимания архитектуры хранения, проприетарных форматов записи и методов безопасной работы с деградирующими носителями. Главная сложность заключается в том, что DVR-регистраторы не работают с видео как с обычными мультимедийными файлами. Запись ведётся непрерывным потоком в сырых контейнерах (часто на базе H.264/H.265 ES-потоков), которые упаковываются в проприетарные форматы, адаптированные под аппаратное декодирование конкретного производителя. Файловые системы, используемые в DVR, модифицированы: это могут быть кастомизированные версии FAT32, EXT3/4 или полностью закрытые структуры с нестандартным размером кластера, смещёнными таблицами размещения и скрытыми служебными разделами. При повреждении диска операционная система регистратора теряет возможность монтировать раздел, а стандартные инструменты восстановления данных часто распознают только «битые» секторы или возвращают бессмысленные наборы файлов с расширением `.dat` или `.h264` без корректных заголовков. Проблема усугубляется тем, что попытка запустить автоматическое сканирование или восстановление непосредственно на оригинальном повреждённом диске многократно увеличивает механическую нагрузку на головки и пластины. Каждый лишний цикл чтения может сместить повреждённый сектор в зону с критическими данными, сделать запись невосстановимой или окончательно вывести диск из строя. Кроме того, циклическая перезапись означает, что старые записи физически затираются новыми, и время реакции напрямую влияет на объём спасённого материала. Решение строится на строгом пайплайне: безопасное извлечение диска, аппаратная диагностика, создание побитового образа с пропуском или мягким восстановлением проблемных секторов, парсинг сырой структуры, поиск видеопотоков по сигнатурам, корректное декодирование и конвертация в...

AdminForum AdminForum
15.04.2026
ddrescue FFmpeg Hikvision Dahua
119
0
Продолжить чтение
SMART-дамп: Надёжный способ извлечения серийного номера HDD - руководство 2026
Обсуждение

SMART-дамп: Надёжный способ извлечения серийного номера HDD - руководство 2026

### Содержание 1. [Введение: Зачем извлекать серийник из SMART-дампа и в чём сложность](#введение-зачем-извлекать-серийник-из-smart-дампа-и-в-чём-сложность) 2. [Архитектура ATA/SMART: где физически хранится серийный номер](#архитектура-ata-smart-где-физически-хранится-серийный-номер) 3. [Подготовка окружения: установка утилит и зависимостей](#подготовка-окружения-установка-утилит-и-зависимостей) 4. [Интерфейс анализа: выбор инструментов и настройка консоли](#интерфейс-анализа-выбор-инструментов-и-настройка-консоли) 5. [Получение SMART-дампа: методы снятия дампа с живого и повреждённого диска](#получение-smart-дампа-методы-снятия-дампа-с-живого-и-повреждённого-диска) 6. [Базовый парсинг: структура дампа и поиск поля Serial Number](#базовый-парсинг-структура-дампа-и-поиск-поля-serial-number) 7. [Декодирование полей: ASCII, byte-swapping и специфика вендоров](#декодирование-полей-ascii-byte-swapping-и-специфика-вендоров) 8. [Практика: извлечение серийника через smartctl, hdparm и awk](#практика-извлечение-серийника-через-smartctl-hdparm-и-awk) 9. [Продвинутые техники: парсинг сырых бинарных дампов через Python](#продвинутые-техники-парсинг-сырых-бинарных-дампов-через-python) 10. [Валидация и кросс-проверка: защита от подмены и firmware-ошибок](#валидация-и-кросс-проверка-защита-от-подмены-и-firmware-ошибок) 11. [Автоматизация: скрипты, планировщики и batch-обработка](#автоматизация-скрипты-планировщики-и-batch-обработка) 12. [Безопасность и приватность: защита данных и соответствие требованиям](#безопасность-и-приватность-защита-данных-и-соответствие-требованиям) 13. [Мониторинг и отладка: логирование, тесты и оптимизация пайплайна](#мониторинг-и-отладка-логирование-тесты-и-оптимизация-пайплайна) 14. [Интеграция с системами учёта: CMDB, GLPI и инвентаризационные API](#интеграция-с-системами-учёта-cmdb-glpi-и-инвентаризационные-api) 15. [Часто задаваемые вопросы (FAQ)](#часто-задаваемые-вопросы-faq) 16. [Заключение: Будущее диагностики HDD и SMART-аналитики в 2026 году](#заключение-будущее-диагностики-hdd-и-smart-аналитики-в-2026-году) ### Введение: Зачем извлекать серийник из SMART-дампа и в чём сложность {#введение-зачем-извлекать-серийник-из-smart-дампа-и-в-чём-сложность} Жёсткие диски остаются одним из ключевых компонентов корпоративной и домашней инфраструктуры. Несмотря на рост популярности NVMe и SSD, традиционные HDD по-прежнему доминируют в архивных хранилищах, NAS-системах и серверах начального уровня. Каждый диск обладает уникальным идентификатором — серийным номером, который используется для гарантийного обслуживания, отслеживания деградации, инвентаризации и forensic-расследований. Однако на практике извлечение этого идентификатора часто превращается в нетривиальную задачу. Проблема заключается в том, что серийный номер не хранится в стандартных SMART-атрибутах (таких как температура, количество переназначенных секторов или часы наработки). Он расположен в служебной области IDENTIFY DEVICE, которая опрашивается отдельно через ATA-команды. При формировании «SMART-дампа» многие утилиты объединяют данные атрибутов, журналы ошибок и IDENTIFY-блок в один файл, что создаёт иллюзию, будто серийник находится «внутри SMART». На деле это приводит к путанице: администраторы ищут строку `Serial Number` в логах SMART, сталкиваются с обрезанными значениями, нулевыми байтами или зашифрованными полями, и получают некорректный результат. Дополнительную сложность добавляют сбойные диски. При деградации магнитных пластин или повреждении служебной области PCB контроллер может отдавать повреждённые IDENTIFY-данные. Попытка многократного опроса такого диска для «исправления» серийника приводит к ускоренному износу, потере пользовательских данных и невозможности восстановления. В forensic-сценариях критически важно извлечь идентификатор с первого безопасного дампа, без повторных физических обращений к носителю. Решение — системный подход к работе с дампами: понимание структуры ATA-блоков, корректное извлечение IDENTIFY-данных, учёт эндіанности, автоматизированная очистка от паддинга и обязательная валидация. Преимущества такого подхода очевидны: исключение человеческих ошибок, возможность обработки сотен дисков в batch-режиме, юридическая точность идентификаторов и минимизация нагрузки на сбойное оборудование. В этом руководстве мы разберём весь цикл работы: от получения корректного дампа до написания Python-скрипта для автоматического парсинга. Материал опирается на спецификации ATA/ATAPI-8 и ACS-4, проверенные практики использования smartmontools и реальные сценарии из enterprise-среды. Для выполнения инструкций потребуется базовое понимание работы с командной строкой, знание основ hex-форматов и установленная среда Python 3.8+. Мы уделим особое внимание безопасности, валидации данных и интеграции с корпоративными системами учёта. ### Архитектура ATA/SMART: где физически хранится серийный номер {#архитектура-ata-smart-где-физически-хранится-серийный-номер} Прежде чем приступать к парсингу, необходимо чётко понимать,...

AdminForum AdminForum
14.04.2026
ATA команды Python анализ логов SMART дамп
208
0
Продолжить чтение
Международная операция лишила хакеров платформы для аренды DDoS-атак

Международная операция лишила хакеров платформы для аренды DDoS-атак

Правоохранительные органы 21 страны провели скоординированную операцию PowerOFF, направленную против рынка услуг DDoS-for-hire — платформ, позволяющих за плату запускать атаки на отказ в обслуживании securitymedia.org . В результате были отключены 53 домена, связанные с такими сервисами, проведены четыре ареста и выданы 25 ордеров на обыск. По оценкам экспертов, платформами пользовались более 75 тысяч человек, включая как злоумышленников, так и любопытных пользователей, не осознававших правовых последствий. Особенность операции — профилактическая рассылка предупреждений идентифицированным пользователям через электронную и обычную почту. Такой подход направлен не только на пресечение незаконной активности, но и на повышение цифровой грамотности. Эксперты подчёркивают: доступность «атак по подписке» снижает порог входа в киберпреступность, позволяя даже неопытным злоумышленникам наносить ущерб бизнесу и инфраструктуре. Усиление международного сотрудничества и превентивное информирование — ключевые элементы борьбы с этой угрозой в 2026 году.

AdminForum AdminForum
Новости и события
28.04.2026
52
0
Продолжить чтение
Критические уязвимости на внешнем периметре: 6 млн хостов передают данные без шифрования

Критические уязвимости на внешнем периметре: 6 млн хостов передают данные без шифрования

Исследователи платформы Censys опубликовали данные мониторинга интернет-инфраструктуры за апрель 2026 года, выявив масштабную проблему безопасности. Около 5,95 миллионов хостов по-прежнему используют устаревший протокол FTP для передачи файлов, причем у 2,45 млн из них не зафиксировано признаков применения TLS-шифрования. Эксперты подчеркивают: отсутствие шифрования не всегда означает передачу данных в открытом виде, однако сам факт наличия такой инфраструктуры создает значительные риски. Злоумышленники могут перехватывать логины, пароли и конфиденциальные файлы, используя методы пассивного прослушивания трафика. Ситуация усугубляется тем, что многие организации не обновляют унаследованные системы, полагаясь на «работает — не трогай». Однако в условиях роста целевых атак такая позиция становится уязвимой. Специалисты рекомендуют провести аудит внешних сервисов, отключить незащищенные FTP-порты и перевести передачу данных на SFTP или FTPS с обязательным шифрованием. Для бизнеса это сигнал: даже «незаметные» сервисы могут стать точкой входа для атаки. Регулярный сканинг периметра и обновление протоколов — минимальная мера защиты в 2026 году.

AdminForum AdminForum
Новости и события
28.04.2026
45
0
Продолжить чтение
📰

На форуме ForensicAnvil.ru появилась профессиональная система аналитики для авторов!

📈 Что нового: 1. Детальная статистика просмотров • Графики по дням (1, 7, 30 дней) • Визуализация роста популярности статей • Анализ пиковых периодов активности 2. Аналитика подписчиков • Отслеживание новых подписчиков • История подписок по датам • Информация о каждом подписчике 3. Топ тем • Рейтинг самых популярных статей • Сравнение эффективности контента • Данные для оптимизации контент-стратегии 4. Красивый интерфейс • Современные интерактивные графики • Зеленый градиентный дизайн • Адаптивная верстка для всех устройств ‹›1 / 3 💡 Почему это важно: Для экспертов по кибербезопасности, форензике и OSINT важно понимать, какой контент наиболее востребован аудиторией. Новая статистика поможет: • Определить темы, которые вызывают наибольший интерес • Планировать публикации на основе данных • Отслеживать рост аудитории и влияние контента • Оптимизировать стратегию развития блога 🎯 Как использовать: 1. Зайдите в свой профиль на форуме 2. Найдите кнопку "Статистика" после вашей роли 3. Выберите период анализа (1, 7 или 30 дней) 4. Изучите графики и данные 📊 Доступно для всех авторов форума! Присоединяйтесь к сообществу экспертов и делитесь своими знаниями: 🔗 https://forensicanvil.ru/forum/ #ForensicAnvil #Кибербезопасность #Форензика #ЦифроваяКриминалистика #OSINT #БлокчейнАнализ #Пентестинг #Статистика #Аналитика #Блог #Эксперты #IT #КибербезопасностьРоссия --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

AdminForum AdminForum
Новости и события
28.11.2025
140
0
Продолжить чтение
📰

Рекордная DDoS-атака на Azure: ботнет Aisuru с 500 000 устройств обрушил на облако 15,72 Тбит/с

Microsoft Azure столкнулась с беспрецедентной по масштабу распределенной атакой отказа в обслуживании (DDoS), которая генерировала трафик объемом 15,72 Тбит/с. Согласно официальным данным корпорации, в атаке было задействовано свыше полумиллиона IP-адресов, а максимальная интенсивность превысила отметку в 3,6 миллиарда пакетов в секунду. Целью злоумышленников стал публичный IP-адрес облачной инфраструктуры в австралийском регионе, что привело к кратковременным, но серьезным перебоям в работе сервисов. Как сообщили в Microsoft, источником атаки выступил ботнет Aisuru — модифицированная версия известного семейства Turbo Mirai. Данная сеть скомпрометированных IoT-устройств преимущественно состоит из уязвимых домашних роутеров и IP-камер, которые были взломаны через интернет-провайдеров в Соединенных Штатах и ряде других государств. Масштаб и характеристики атаки на Azure Атака на инфраструктуру Azure стала одной из самых мощных DDoS-атак в истории облачных сервисов. Технические характеристики инцидента: - Объем трафика: 15,72 Тбит/с - Количество IP-адресов: более 500 000 - Пиковая интенсивность: 3,6 млрд пакетов в секунду - Географическая цель: публичный IP-адрес в Австралии - Длительность: кратковременные, но масштабные сбои По словам Шона Уэйлена, занимающего должность старшего менеджера по продуктам защиты облачных сервисов Azure, специфика атакующего трафика — применение случайных портов источника и минимальная подмена IP-адресов — дала возможность системам защиты быстрее идентифицировать и отфильтровать вредоносный поток, что существенно уменьшило нагрузку на облачную инфраструктуру. Характеристики трафика и техники атаки Анализ трафика атаки на Azure выявил несколько интересных особенностей, которые помогли системам защиты эффективно справиться с угрозой. Случайные порты источника Трафик использовал случайные порты источника, что является стандартной техникой для обхода базовых фильтров. Однако это также упростило фильтрацию для защитных систем Azure, так как паттерн был легко идентифицируем. Отсутствие подмены IP Почти полное отсутствие подмены IP-адресов в трафике позволило системам защиты быстрее идентифицировать и блокировать вредоносный трафик. Это указывает на то, что ботнет полагается на объем, а не на сложность техник обхода. Эффективность фильтрации Характер трафика позволил системам Azure ускорить его фильтрацию и снизить нагрузку на инфраструктуру. Это демонстрирует важность адаптивных систем защиты, способных быстро анализировать и реагировать на различные типы атак. Ботнет Aisuru: что это такое Ботнет Aisuru представляет собой разновидность Turbo Mirai — модифицированной версии печально известного ботнета Mirai, который впервые появился в 2016 году. В отличие от оригинального Mirai, Turbo Mirai и его варианты используют более продвинутые техники для увеличения объема атак и уклонения от обнаружения. Состав ботнета По данным исследовательской группы XLab из китайской компании Qi'anxin, к моменту атаки на Azure ботнет Aisuru контролировал около 300 000 зараженных устройств, преимущественно за счет эксплуатации уязвимостей в: - IP-камерах — устройства видеонаблюдения с уязвимостями - Видеорегистраторах — системы записи видео - Оборудовании Realtek — сетевые чипсеты и устройства - Маршрутизаторах компаний: - T-Mobile - Zyxel - D-Link - Linksys Механизм заражения Наиболее стремительный рост ботнета произошел в апреле 2026 года, когда была скомпрометирована система обновлений маршрутизаторов TotoLink. Благодаря этому инциденту киберпреступникам удалось заразить приблизительно 100 тысяч устройств в предельно сжатые сроки. Этот инцидент демонстрирует критическую важность безопасности цепочки поставок и серверов обновлений. Компрометация одного сервера обновлений может привести к массовому заражению тысяч устройств одновременно. Угроза для IoT-устройств Ботнет Aisuru фокусируется на заражении IoT-устройств, что представляет серьезную угрозу для безопасности интернета. Проблема заключается в том, что миллионы устройств остаются уязвимыми из-за слабой защиты по умолчанию. Уязвимые устройства Основные категории уязвимых устройств: 1. Домашние маршрутизаторы - Слабая защита по умолчанию - Редкие обновления прошивки - Использование стандартных паролей 2. IP-камеры и видеорегистраторы - Открытые порты в интернете - Устаревшее программное обеспечение - Отсутствие механизмов обновления 3. Сетевое оборудование - Уязвимости в прошивках - Небезопасные протоколы управления - Отсутствие мониторинга Географическое распределение Ботнет Aisuru использует устройства, взломанные через провайдеров США и других стран, что делает его глобальной угрозой, не ограниченной одной географической областью. Это усложняет борьбу с ботнетом, так как зараженные устройства находятся в разных юрисдикциях. Серия рекордных атак в 2026 году Атака на Azure стала частью серии мощных DDoS-атак, организованных ботнетом Aisuru в 2026 году. Эти инциденты демонстрируют растущую мощь современных ботнетов и их способность генерировать...

AdminForum AdminForum
Новости и события
18.11.2025
142
0
Продолжить чтение
📰

Lazarus APT Group представляет ScoringMathTea RAT с возможностями удаленного выполнения

В октябре 2026 года исследователи кибербезопасности из ESET раскрыли новую кампанию кибершпионажа северокорейской APT-группы Lazarus, получившую название "Operation DreamJob". Кампания, названная ESET "Gotta Fly", нацелена на компании, занимающиеся производством беспилотных летательных аппаратов (БПЛА), которые поставляют технологии в Украину. Основное оружие, используемое в этих атаках — это сложный троян удаленного доступа (RAT) под названием ScoringMathTea, написанный на C++ и разработанный для скрытности и уклонения от обнаружения. ScoringMathTea работает как модульная DLL-библиотека, используя передовые техники для избежания обнаружения. При загрузке он инициализирует структуру конфигурации, содержащую зашифрованные адреса серверов управления и контроля (C&C), идентификаторы кампаний и другие операционные параметры. Вредоносное ПО использует stack strings для скрытия URL-адресов C&C, что затрудняет статический анализ. Оно также применяет пользовательский полиалфавитный шифр подстановки с цепочкой для деобфускации строк во время выполнения, что еще больше усложняет обратную инженерию. Технические детали и тактики уклонения Основная функциональность ScoringMathTea вращается вокруг динамического разрешения API через хеширование API. Вредоносное ПО парсит экспорты DLL, хеширует имена API с помощью пользовательского алгоритма и разрешает их во время выполнения, чтобы избежать обнаружения инструментами на основе сигнатур. Эта техника, в сочетании с PEB walking для поиска kernel32.dll и ручным получением указателей API, позволяет ScoringMathTea обходить перехват API, сохраняя чистую, не перехваченную таблицу API. Коммуникация с серверами управления Коммуникация с серверами C&C осуществляется по протоколам HTTP/HTTPS, при этом полезные нагрузки шифруются с использованием TEA/XTEA в режиме CBC, кодируются в Base64 и опционально сжимаются. Вредоносное ПО подделывает легитимную строку User-Agent браузера Microsoft Edge, чтобы смешаться с обычным трафиком. Оно также фильтрует HTML-заголовки из ответов C&C, возможно, для уклонения от анализа в песочнице и порталов захвата. Агент поддерживает 60-секундный heartbeat-сигнал, отправляя псевдослучайные полезные нагрузки для дальнейшего сокрытия своей активности. Загрузка и выполнение плагинов Ключевая особенность ScoringMathTea — это его способность загружать и выполнять плагины в памяти с использованием Reflective DLL Injection. Вредоносное ПО вручную мапит PE-файл плагина, вычисляет контрольную сумму CRC32 для проверки целостности и применяет правильные защиты памяти перед выполнением экспортированной функции плагина. Эта техника позволяет операторам развертывать дополнительные вредоносные модули без записи на диск, что делает обнаружение и анализ более сложными. Механизмы уклонения ScoringMathTea также реализует несколько механизмов уклонения, включая: - Скрытие артефактов — удаление следов своей деятельности - Подавление системных диалогов ошибок — предотвращение обнаружения пользователями - Вычисление контрольных сумм CRC32 — обнаружение попыток вмешательства - Динамическое разрешение API — обход перехвата API - Маскировка под легитимный трафик — использование поддельных User-Agent Эти тактики соответствуют нескольким техникам MITRE ATT&CK, таким как Reflective Code Loading, Obfuscated Files or Information, Masquerading и Debug Evasion. Целевая аудитория Кампания "Gotta Fly" специально нацелена на компании, участвующие в производстве беспилотных летательных аппаратов, которые поставляют технологии в Украину. Это указывает на стратегический интерес северокорейской APT-группы к: - Военным технологиям - Оборонной промышленности - Критически важной инфраструктуре - Технологиям двойного назначения Эксперты по кибербезопасности отмечают, что выбор целей отражает геополитические интересы Северной Кореи и ее стремление получить доступ к передовым военным технологиям. Эволюция Lazarus APT Обнаружение ScoringMathTea подчеркивает продолжающуюся эволюцию APT-группы Lazarus в разработке скрытного, модульного вредоносного ПО для целевого шпионажа. Группа Lazarus известна своими: - Сложными кампаниями — использование передовых техник и инструментов - Долгосрочными операциями — терпеливое планирование и выполнение атак - Модульной архитектурой — возможность адаптации под конкретные цели - Уклонением от обнаружения — постоянное совершенствование техник скрытности Исторический контекст Lazarus APT — одна из самых активных и опасных APT-групп, связанная с правительством Северной Кореи. Группа известна своими атаками на: - Финансовые учреждения - Криптовалютные биржи - Оборонные и аэрокосмические компании - Критически важную инфраструктуру Рекомендации по защите Организации, участвующие в чувствительных технологических секторах, должны оставаться бдительными и повышать свои возможности обнаружения для противодействия таким продвинутым угрозам. Немедленные меры 1. Мониторинг сетевого трафика - Отслеживание подозрительных HTTP/HTTPS-подключений - Анализ User-Agent строк на предмет...

AdminForum AdminForum
Новости и события
18.11.2025
150
0
Продолжить чтение
📰

CISA предупреждает о критической уязвимости Lynx+ Gateway: данные передаются в открытом виде

Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило критическое предупреждение о серьезной уязвимости в устройствах Lynx+ Gateway, которая может привести к раскрытию конфиденциальной информации в открытом виде во время передачи данных. Уязвимость позволяет злоумышленникам перехватывать сетевой трафик и получать учетные данные в открытом виде, а также другую конфиденциальную информацию. Проблема, получившая идентификатор CVE-2026-62765, связана с тем, что продукт не шифрует данные во время передачи. Эта уязвимость передачи данных в открытом виде представляет серьезный риск безопасности для организаций, использующих технологию Lynx+ Gateway, особенно для тех, кто управляет критически важной инфраструктурой или обрабатывает конфиденциальные коммуникации. Характеристики уязвимости Злоумышленник с доступом к сети может использовать эту уязвимость, отслеживая трафик, проходящий через затронутый шлюз. Отсутствие шифрования означает, что учетные данные, токены аутентификации и другая конфиденциальная информация, передаваемая по сети, остаются видимыми для потенциальных злоумышленников. Согласно CISA, для запуска атаки не требуется аутентификация или взаимодействие с пользователем, что делает эту уязвимость особенно опасной. Уязвимость получила базовую оценку CVSS v3 в 7.5 баллов, что указывает на высокую серьезность угрозы. При этом оценка CVSS v4 еще более критична — 8.7 баллов, что отражает эволюцию оценки этой угрозы. Технические детали ПараметрЗначениеCVE IDCVE-2026-62765ПродуктLynx+ GatewayТип уязвимостиПередача данных в открытом видеCVSS v3 Score7.5 (Высокая)CVSS v4 Score8.7 (Критическая)ВоздействиеРаскрытие учетных данных и данных в открытом виде Векторная строка CVSS v3 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) показывает, что атака может быть выполнена удаленно с низкой сложностью и не требует привилегий. Уязвимость серьезно влияет на конфиденциальность, не затрагивая целостность или доступность данных. Вектор CVSS v4 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N) подтверждает, что вектор атаки остается сетевым, с минимальными барьерами для эксплуатации. Риски для организаций Организации, использующие устройства Lynx+ Gateway, должны немедленно приоритизировать установку патчей для устранения этой уязвимости. Особенно уязвимы организации, которые: - Управляют критически важной инфраструктурой - Обрабатывают конфиденциальные коммуникации - Передают чувствительные данные через сеть - Используют устройства Lynx+ Gateway в производственных средах Отсутствие шифрования означает, что любой злоумышленник, имеющий доступ к сетевому трафику, может перехватить: - Учетные данные пользователей - Токены аутентификации - Конфиденциальные бизнес-данные - Персональную информацию - Другие чувствительные данные, передаваемые через шлюз Рекомендации CISA Агентство по кибербезопасности и защите инфраструктуры США рекомендует организациям принять следующие меры: Немедленные действия 1. Установка патчей - Немедленно установить доступные обновления безопасности - Проверить наличие патчей у производителя Lynx+ Gateway - Приоритизировать обновление как критический инцидент безопасности 2. Ограничение сетевого доступа - Ограничить сетевой доступ к затронутым шлюзам - Реализовать сетевую сегментацию для ограничения воздействия - Применить принцип наименьших привилегий 3. Мониторинг активности - Внедрить мониторинг подозрительной сетевой активности - Отслеживать попытки перехвата трафика - Настроить алерты на необычные сетевые подключения Долгосрочные меры 4. Шифрование коммуникаций - Реализовать зашифрованные каналы связи - Использовать VPN для защиты трафика - Внедрить TLS/SSL для всех передач данных 5. Аудит и анализ - Провести анализ журналов доступа на предмет признаков несанкционированного перехвата трафика - Регулярно проверять конфигурации безопасности - Провести аудит сетевой инфраструктуры 6. План реагирования - Разработать план реагирования на инциденты - Подготовить команду реагирования - Регулярно проводить учения по реагированию Доступность патчей На момент публикации предупреждения CISA рекомендует организациям связаться с производителем Lynx+ Gateway для получения информации о доступности патчей и обновлений безопасности. До тех пор, пока патчи не станут доступны, администраторам следует: - Ограничить сетевой доступ к затронутым шлюзам - Внедрить дополнительные средства мониторинга - Рассмотреть возможность временного отключения устройств, если это возможно - Использовать альтернативные защищенные каналы связи Критичность инцидента Учитывая критический характер этой уязвимости, обновление должно рассматриваться как инцидент безопасности высокого приоритета, требующий срочного внимания со стороны сетевых и команд безопасности. Оценка CVSS v4 в 8.7 баллов (критическая) подчеркивает серьезность угрозы и необходимость немедленных действий. Организации не должны откладывать применение мер защиты, так как уязвимость может быть легко использована злоумышленниками без необходимости в...

AdminForum AdminForum
Новости и события
18.11.2025
110
0
Продолжить чтение
📰

Группировка, атаковавшая энергосети США, теперь угрожает Канаде

Киберпреступная группировка Qilin объявила канадскую энергетическую компанию Spark Power своей жертвой, заявив о краже 222 ГБ данных. Однако на данный момент злоумышленники не предоставили никаких доказательств в поддержку своих заявлений. Qilin, известная своими атаками на энергетическую инфраструктуру США, опубликовала информацию о Spark Power — канадской компании, предоставляющей электротехнические услуги и активно работающей в США — на своем сайте утечек в даркнете. Это стандартная тактика групп вымогателей, которые публикуют информацию о компаниях в качестве предупреждения перед утечкой украденных данных, если жертва откажется платить выкуп. Сообщение появилось 15 ноября 2026 года. Атакующие утверждают, что им удалось похитить 222 ГБ данных компании. Однако на текущий момент они не предоставили никаких образцов данных, которые могли бы подтвердить их заявления. Отсутствие доказательств вызывает вопросы Без предоставления образцов данных остается неясным, какую именно информацию злоумышленники могли похитить из корпоративной сети Spark Power. Хотя объем украденных данных значителен (222 ГБ), это может включать широкий спектр информации — от технической документации до финансовых записей и персональных данных сотрудников, что может привести к различным уровням ущерба при публикации. Эксперты по кибербезопасности отмечают, что отсутствие образцов данных может указывать на несколько сценариев: - Атакующие все еще обрабатывают похищенную информацию - Группировка пытается оказать психологическое давление на жертву без фактической компрометации - Данные были зашифрованы, но не украдены - Это может быть попытка привлечь внимание к группировке Контекст угрозы Spark Power — это канадская компания, специализирующаяся на предоставлении электротехнических услуг, с активными операциями в США. Компания работает в критически важном секторе энергетической инфраструктуры, что делает ее потенциально привлекательной целью для киберпреступников, стремящихся нанести максимальный ущерб. Группировка Qilin ранее была связана с атаками на энергетическую инфраструктуру США, что вызывает серьезную обеспокоенность у экспертов по кибербезопасности. Переход на канадские цели может указывать на расширение масштабов операций группировки или изменение стратегии атак. Тактика двойного шантажа Публикация информации о жертве на сайте утечек — это распространенная тактика в атаках программ-вымогателей, известная как "двойной шантаж". Злоумышленники не только шифруют данные жертвы, но и угрожают опубликовать украденную информацию в даркнете, если компания откажется платить выкуп. Эта стратегия значительно увеличивает давление на жертв, особенно в случаях, когда похищенные данные могут содержать конфиденциальную информацию о клиентах, коммерческие секреты или персональные данные сотрудников. Публикация такой информации может привести к серьезным репутационным и финансовым последствиям, а также к нарушению требований защиты данных. Рекомендации для организаций Эксперты по кибербезопасности рекомендуют организациям, особенно работающим в критически важных секторах, принять следующие меры: 1. Мониторинг сайтов утечек — регулярная проверка даркнета на предмет упоминаний о компании 2. Усиление защиты периметра — многофакторная аутентификация, сегментация сетей 3. Резервное копирование — регулярное создание изолированных резервных копий критических данных 4. План реагирования на инциденты — готовность к быстрому реагированию в случае компрометации 5. Обучение персонала — повышение осведомленности о фишинге и социальной инженерии Текущая ситуация На момент публикации новости Spark Power не предоставила официальных комментариев относительно заявлений группировки Qilin. Компания также не подтвердила факт кибератаки или компрометации данных. Специалисты по цифровой форензике и реагированию на инциденты продолжают мониторить ситуацию и анализировать активность группировки Qilin. Отсутствие образцов данных на сайте утечек может указывать на то, что переговоры между атакующими и жертвой все еще продолжаются, или что заявления группировки не соответствуют действительности. Заключение Заявления группировки Qilin о компрометации Spark Power подчеркивают растущую угрозу для критически важной инфраструктуры, особенно в энергетическом секторе. Отсутствие доказательств на данный момент не означает, что угроза нереальна — организации должны оставаться бдительными и принимать проактивные меры по защите своих систем и данных. Ситуация развивается, и эксперты по кибербезопасности продолжают отслеживать активность группировки Qilin и ее потенциальное влияние на канадские и американские компании в энергетическом секторе. --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

AdminForum AdminForum
Новости и события
18.11.2025
85
0
Продолжить чтение
📰

Google добавил в Карты форму для сообщений о вымогательстве через поддельные отзывы

Google запустила форму для бизнеса в Google Картах, чтобы сообщать о вымогательстве: мошенники публикуют поддельные негативные отзывы и требуют деньги за их удаление. Форма направлена против «бомбардировки отзывами» — намеренной публикации негативных отзывов для вреда бизнесу. «Мошенники обходят наши системы модерации и заполняют профиль компании поддельными отзывами с одной звездой, — заявила Лори Ричардсон, вице-президент Google по доверию и безопасности. — После атаки они напрямую связываются с владельцем, часто через сторонние мессенджеры, и требуют оплату». Мошенники угрожают эскалацией при отказе платить, что может навредить рейтингу и репутации. Такие действия рассматриваются как вымогательство. Другие виды мошенничества Google также предупредила о других схемах: Мошенничество с трудоустройством — поддельные сайты вакансий и профили рекрутеров, сбор конфиденциальных данных через фейковые анкеты и видеоинтервью, распространение вредоносного ПО (RAT, программы для кражи данных). Имитация продуктов ИИ — использование популярности ИИ-инструментов для продвижения поддельных сервисов через вредоносную рекламу, взломанные аккаунты в соцсетях и троянизированные репозитории с открытым исходным кодом, обещающие «бесплатный» или «эксклюзивный» доступ. Жертвы загружают вредоносные мобильные и настольные приложения, приложения-обманки со скрытыми подписками и поддельные расширения для браузера. Вредоносные VPN-приложения и расширения — приложения, замаскированные под легитимные VPN-сервисы, распространяются на разных платформах с использованием социальной инженерии и геополитических событий. После установки могут служить каналом для других вредоносных программ: кража данных, RAT-атаки, банковское вредоносное ПО, похищение средств из криптовалютных кошельков. Аферы с возвратом средств — нацелены на уже пострадавших: мошенники выдают себя за агентов по возврату активов от имени юридических фирм и государственных учреждений для повторного обмана. ФБР выпустило бюллетень об этой угрозе в августе 2026 года. Сезонные мошенничества — использование праздников и распродаж для обмана покупателей через поддельные предложения в соцсетях, что приводит к финансовому мошенничеству и краже данных. Рекомендации по защите Осторожно относиться к неожиданным сообщениям или письмам с требованием оплаты Не доверять тем, кто обещает вернуть деньги Загружать приложения только из надежных источников и от легитимных разработчиков Быть бдительными при запросах на предоставление конфиденциальной личной информации --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

AdminForum AdminForum
Новости и события
07.11.2025
77
0
Продолжить чтение
📰

Шпионское ПО LANDFALL распространялось через WhatsApp на Android-устройства Samsung с использованием zero-click уязвимости

Исследователи из Unit 42 (Palo Alto Networks) обнаружили, что уязвимость в устройствах Samsung Galaxy на Android использовалась как zero-day для распространения шпионского ПО LANDFALL в целевых атаках на Ближнем Востоке. Эксплуатировалась уязвимость CVE-2026-21042 (CVSS 8.8), позволяющая удаленное выполнение произвольного кода. Samsung закрыла её в апреле 2026 года. По данным Unit 42, уязвимость активно использовалась до исправления. Кампания отслеживается как CL-UNK-1054; цели — пользователи в Ираке, Иране, Турции и Марокко (по данным VirusTotal). Исследование началось после того, как в сентябре 2026 года Samsung сообщила об эксплуатации другой уязвимости в той же библиотеке (CVE-2026-21043, CVSS 8.8) в качестве zero-day. Связи этой уязвимости с кампанией LANDFALL не обнаружено. Механизм атаки Атаки включали отправку через WhatsApp вредоносных изображений в формате DNG (Digital Negative). Первые образцы LANDFALL зафиксированы 23 июля 2024 года. Обнаружены DNG-артефакты с именами вроде «WhatsApp Image 2026-02-10 at 16:54:17 PM.jpeg» и «IMG-20240723-WA0000.jpg». После установки LANDFALL собирает конфиденциальные данные: записи микрофона, геолокацию, фотографии, контакты, SMS, файлы и журналы вызовов. Эксплойт-цепочка, вероятно, использовала zero-click подход для эксплуатации CVE-2026-21042 без взаимодействия с пользователем. Технические детали Анализ Unit 42 показал, что DNG-файлы содержат встроенный ZIP-архив в конце файла. Эксплойт извлекает из архива библиотеку общих объектов для запуска шпионского ПО. В архиве также присутствует другой общий объект, манипулирующий политикой SELinux для повышения привилегий LANDFALL и обеспечения устойчивости. Загрузчик LANDFALL взаимодействует с сервером управления и контроля (C2) по HTTPS для входа в цикл маяков и получения полезных нагрузок следующего этапа. Связь с другими угрозами Авторство шпионского ПО и кампании пока не установлено. По данным Unit 42, инфраструктура C2 LANDFALL и схемы регистрации доменов совпадают с инфраструктурой Stealth Falcon (FruityArmor), однако по состоянию на октябрь 2026 года прямых совпадений между двумя кластерами не обнаружено. Контекст Примерно в то же время WhatsApp сообщил об уязвимости в мессенджере для iOS и macOS (CVE-2026-55177, CVSS 5.4), связанной с CVE-2026-43300 (CVSS 8.8) в Apple iOS, iPadOS и macOS, которая могла затрагивать менее 200 пользователей в рамках сложной кампании. Apple и WhatsApp закрыли эти уязвимости. Исследователи отмечают, что с момента первого появления образцов в июле 2024 года эта активность демонстрирует, как сложные эксплойты могут долго оставаться в публичных репозиториях до полного изучения. --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

AdminForum AdminForum
Новости и события
07.11.2025
85
0
Продолжить чтение
📰

Международная охота на украинского хакера: $11 млн за поимку злоумышленника с ущербом в $18 млрд

Ключевые данные Американские власти готовы заплатить $11 млн за помощь в поимке украинского хакера, несколько лет терроризировавшего бизнес по всему миру, используя программы-вымогатели. Жертвы выбирались только из числа крупных компаний с годовым доходом, превышающим $100 млн. Профиль преступника В США предъявлено семь обвинений в компьютерном взломе и организации преступной деятельности с использованием вирусов-вымогателей LockerGoga, MegaCortex и Nefilim гражданину Украины 28-летнему Владимиру Тимощуку, пишет Register. За помощь в поимке хакера, нанесшего ущерб сотням компаний по всему миру на сумму около $18 млрд, назначено вознаграждение в размере $11 млн. Подозреваемому грозит серьезное наказание вплоть до пожизненного заключения. Заявление прокурора «Тимощук — серийный злоумышленник, использующий вирусы-вымогатели. Его мишенью были ведущие американские компании, учреждения здравоохранения и крупные иностранные промышленные предприятия. Он угрожал опубликовать их конфиденциальные данные в интернете, если они откажутся платить», — заявил Джозеф Ночелла-младший (Joseph Nocella Jr), прокурор США по Восточному округу Нью-Йорка. Международный розыск Тимощука разыскивают и французские правоохранители, включившие его в список самых разыскиваемых «опасным» преступников Европы. Один из его сообщников — тоже украинский гражданин Артем Стрижак — был арестован в Барселоне в июне 2024 г., после чего экстрадирован в США. Хронология преступлений По данным прокуроров, Тимощук несет ответственность за совершавшиеся в период с декабря 2018 г. по октябрь 2021 г. атаки на более чем 250 компаний в США и еще сотни по всему миру. «В некоторых случаях эти атаки приводили к полному нарушению бизнес-операций до тех пор, пока не удавалось восстановить зашифрованные данные», — сказал Мэтью Р. Галеотти (Matthew R Galeotti), исполняющий обязанности помощника генерального прокурора в уголовном отделе Министерства юстиции. Структура обвинений Обвинения против Тимощука включают пункты, связанные с: Умышленным повреждением защищенных компьютеров Несанкционированным доступом к защищенным компьютерам Компьютерным мошенничеством Угрозой раскрытия конфиденциальной информации Методы атак Тимощук и его команда предположительно получали доступ к инфраструктуре жертв с помощью различных средств, часто оставаясь незамеченными в течение месяцев, прежде чем запустить вредоносную программу-вымогатель. Члены группы регулярно злоупотребляли инструментами для пентеста Cobalt Strike и Metasploit, а также прибегали к услугам посредников первоначального доступа для получения украденных учетных данных, когда не могли подобрать их самостоятельно. Стратегия выбора жертв Согласно обвинительному заключению, злоумышленники в основном нацеливались на организации с годовым доходом, превышающим $100 млн. В документе описываются различные атаки без указания названий пострадавших компаний, которые выплачивали выкупы на суммы свыше $1 млн. Кейс Norsk Hydro От одного из вирусов Тимощука в 2019 г. пострадал крупный норвежский производитель алюминия Norsk Hydro. Этот случай поразил тогда общественность своими масштабами и широко освещался в прессе. Десятки тысяч компьютеров были заблокированы на 170 объектах Norsk Hydro, расположенных в 40 странах. Инцидент затронул большую часть из 35 тыс. сотрудников компании, чья деятельность была нарушена. Ущерб, включающий стоимость простоя и затраты на ликвидацию последствий, составил $81 млн. Анализ угрозы Деятельность Тимощука представляет собой одну из самых масштабных киберпреступных операций в истории. Использование профессиональных инструментов пентестинга и длительное пребывание в системах жертв свидетельствует о высоком уровне технической подготовки преступной группы. Международное сотрудничество Случай Тимощука демонстрирует важность международного сотрудничества в борьбе с киберпреступностью. Совместные усилия правоохранительных органов США, Франции и Испании позволили арестовать одного из сообщников и предъявить обвинения главному организатору. --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

AdminForum AdminForum
Новости и события
17.09.2025
71
0
Продолжить чтение

ошибка сборки проекта java

Ошибка при сборке проекта на Java Calculating task graph as no cached configuration is available for tasks: build FAILURE: Build failed with an exception. * What went wrong: 25.0.1 после команды ./gradlew build выдаёт ошибку написанную выше, что с этим можно сделать? такая же ошибка и на команду ./gradlew clean то, что я пишу в консоль: ./gradlew build то, что выдаёт: Calculating task graph as no cached configuration is available for tasks: build FAILURE: Build failed with an exception. * What went wrong: 25.0.1 * Try: > Run with --stacktrace option to get the stack trace. > Run with --info or --debug option to get more log output. > Run with --scan to get full insights. > Get more help at https://help.gradle.org. BUILD FAILED in 504ms Configuration cache entry stored. версия gradle 8.14.2 --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

Daniil Daniil
ВОПРОС/ОТВЕТ
05.11.2025
165
1
Продолжить чтение

Как загрузить код в SQLiteStudio

Я попросил ии сделать код для БД по странам Европы но не знаю куда его импортировать в SQLiteStudio , спросил им он мне не дал точного ответа и ведёт не туда , на Ютуб и в Гугл ответов нет. (Смысла спрашивать у ии и кидать его ответ сюда нету, Я уже пробовал найти ответ так) --- **⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.

Geirby3247 Geirby3247
ВОПРОС/ОТВЕТ
04.11.2025
116
1
Продолжить чтение

Популярные теги

кибербезопасность 59 цифровая криминалистика 57 восстановление данных 21 информационная безопасность 21 защита данных 19 цифровая форензика 19 социальная инженерия 18 безопасность 16 Мобильная форензика 16 пентестинг 15 фишинг 13 двухфакторная аутентификация 11 OSINT 10 компьютерная экспертиза 10 Криптография 10
Условия использования Политика Cookies Отказ от ответственности