Даже имеющихся логах можно построить огромное количество сценариев выявления атак, если прям сильно хочется все попытки выявлять - придумывайте сценарии выявления, корреляция каких событий это аномалия, тут сильно от культуры ИБ в конкретной организации зависит, если запрещено по rdp ходить на соседние компы- значит мониторить по логам события 4624 с типом входа 3, если например пользователям в организации разрешено подключаться к своему компу через vpn - создать сценарий выявляющий подключения к чужому компу по логам с хоста, AD и vpn, если нет пользователей за рубежом - мониторить подключения по src_ip по базе geoip, придумать можно огромное количество, все ограничивается только фантазией. Я бы не искал неизвестно чего на хостах, а делал упор на конкретные сценарии на имеющихся логах

По ним можно косвенно определить, что конкретном хосте что то не так, а дальше исследование форензикам конкретного хоста, тут лучше образа компа и дампа оперативки ничего не придумаешь

Коллеги, доброй ночи! Посоветуйте, пожалуйста, где посмотреть инфу про подходы к инвертированию алгоритмов.

Задача такая: я разреверсил один проприетарный потоковый алгоритм декомпрессии, немного напоминающий LZO. Я хочу запилить комплементарный алгоритм компрессии, чтобы безболезненно патчить содержимое. Каким образом проще решить эту задачу?
Спасибо! :)

В r0 можно попробовать спросить

Резонно :) Спасибо!

Ребята, напомните пожалуйста, HTTP Basic с The site says: “pool manager”, это что?

а гугл что-нибудь сказал по этому поводу?

Ты сам понял что сказал?

Он спрашивает у какого софта авторизация пишет "pool manager"

Теперь и самому интересно 🙄

интересная штука. будем винду ломать. а этот stub там куда втыкается ? чет я не понял, исходники смотрю как дурак.

Also, the header of the PE file is modified in such a way, that you can start executing the injected buffer from the very beginning - just like you would do with a shellcode. It will automatically find the stub, and continue loading the full PE.

хммм, ладно

надо потыкать

для ленивых штука:)

Добрый день!
Есть проблема: куча уникальных IP с нормальными юзерагентами (не ботов) агрессивно перебирают URL на сайте уже второй день
Соответсвенно, железки все поднапряглись.
Есть ли способы пресечения такой активности?
Ваф не блокирует, потому что не может отличить нормальный запрос клиента  от запроса такого бота(если это он)

а урлы действительные?

Нет, почти на всех выходит 500ая

дайте хоть пример запроса