win32k: Таблица обратных вызовов ядра — полный разбор 126 функций

Posted on By AkaTor

Категория: Security Research / Reverse Engineering / Windows Internals Уровень: Advanced (Red Team / Vulnerability Research) Автор: Aka Tor Платформа: Windows 11 24H2 — user32.dll 10.0.26200.x (x64) Инструменты: Binary Ninja + binarymcp MCP Введение В каждом процессе Windows, подключённом к подсистеме Win32, в структуре PEB (Process Environment Block) есть поле KernelCallbackTable. Оно указывает на таблицу…

Read More “win32k: Таблица обратных вызовов ядра — полный разбор 126 функций” »

Reverse Engineering

win32kfull: переполнение буфера в NtUserGetRawInputDeviceInfo

Posted on By AkaTor

Категория: Vulnerability Research / Kernel Уровень: Advanced (Red Team / Security Research) Автор: Aka Tor CVE: не присвоен (MSRC: низкая степень серьёзности) | CWE: CWE-119 Затронутые версии: Windows 11 25H2 Build 26200.8117, Windows 11 Canary Build 28020 Компонент: win32kfull.sys — NtUserGetRawInputDeviceInfo / RIDI_DEVICENAME Статус: Сообщено в MSRC, закрыто как низкая степень серьёзности, патча нет Введение…

Read More “win32kfull: переполнение буфера в NtUserGetRawInputDeviceInfo” »

Vulnerability Research

Как Windows раздаёт обновления по сети: полный реверс P2P протокола Windows Update

Posted on By AkaTor

Категория: Security Research / Reverse Engineering Уровень: Advanced (Red Team / Vulnerability Research) Автор: Aka Tor Цель: doclient.dll (Delivery Optimization Service, Windows 11 Canary) Введение Windows Delivery Optimization (DO/WUDO) — встроенный P2P сервис для распространения обновлений Windows. Работает от SYSTEM, слушает на TCP порту 7680 на всех интерфейсах, позволяет peers в локальной сети обмениваться контентом…

Read More “Как Windows раздаёт обновления по сети: полный реверс P2P протокола Windows Update” »

Reverse Engineering

Token Manipulation 2026 — Impersonation, Potato Attacks, Token Theft: от сервисного аккаунта до SYSTEM

Posted on By AkaTor

Категория: Red Team / Privilege Escalation Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Введение Каждый процесс в Windows работает под токеном безопасности. Токен определяет кто вы, какие привилегии имеете, к чему можете обращаться. Манипуляция токенами — одна из основных техник повышения привилегий: от сервисного аккаунта до SYSTEM, от обычного пользователя до администратора. Ключевая привилегия…

Read More “Token Manipulation 2026 — Impersonation, Potato Attacks, Token Theft: от сервисного аккаунта до SYSTEM” »

Privesc

Анатомия EDR Killer — техники обхода и отключения защиты в современных ransomware

Posted on By AkaTor

Категория: Red Team / Malware Analysis Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Введение EDR (Endpoint Detection and Response) — главный барьер для современных атакующих. В отличие от классических антивирусов, EDR отслеживает поведение в реальном времени: создание процессов, загрузку модулей, сетевую активность, обращения к LSASS. Для ransomware-групп отключение EDR — обязательный этап перед шифрованием….

Read More “Анатомия EDR Killer — техники обхода и отключения защиты в современных ransomware” »

Malware Analysis

Protected Process Light (PPL) в 2026 — как Windows защищает критические процессы и как это обходят

Posted on By AkaTor

Категория: Red Team / Windows Internals Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Введение Protected Process Light (PPL) — механизм защиты критических процессов Windows на уровне ядра. PPL запрещает доступ к защищённому процессу даже от имени SYSTEM с SeDebugPrivilege. Это означает: нельзя открыть handle, нельзя прочитать память, нельзя инжектить код, нельзя завершить процесс. LSASS,…

Read More “Protected Process Light (PPL) в 2026 — как Windows защищает критические процессы и как это обходят” »

Uncategorized, Windows Internals

Обход AMSI и ETW в 2026 — патчинг в памяти, unhooking, custom CLR hosting

Posted on By AkaTor

Категория: Red Team / Evasion Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Введение AMSI (Antimalware Scan Interface) и ETW (Event Tracing for Windows) — два основных механизма, через которые EDR и Windows Defender контролируют выполнение кода в runtime. AMSI сканирует содержимое скриптов (PowerShell, VBScript, JScript, .NET assemblies) перед выполнением. ETW предоставляет телеметрию о событиях:…

Read More “Обход AMSI и ETW в 2026 — патчинг в памяти, unhooking, custom CLR hosting” »

Evasion

Process Injection 2026 — Все техники инъекции кода в Windows с примерами

Posted on By AkaTor

Категория: Red Team / Offensive Security Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Демонстрационный код: RESEARCH/demos/article-21-injection/ Введение Process Injection — внедрение и выполнение кода в адресном пространстве другого процесса. Применяется для обхода средств защиты, маскировки активности под легитимный процесс и получения доступа к данным целевого процесса. В 2026 году EDR-решения отслеживают стандартные API-вызовы (VirtualAllocEx,…

Read More “Process Injection 2026 — Все техники инъекции кода в Windows с примерами” »

Injection

Lateral Movement 2026 — Полный гайд: техники, инструменты, код

Posted on By AkaTor

Категория: Red Team / Offensive Security Уровень: Intermediate → Advanced Автор: Aka Tor Дата: Апрель 2026 Введение Lateral Movement — этап атаки, на котором противник уже находится внутри сети и перемещается между хостами. Это мост между первоначальным доступом и конечной целью: контроллер домена, файловый сервер, бэкапы. В 2026 году EDR-решения обнаруживают большинство классических техник. Статья…

Read More “Lateral Movement 2026 — Полный гайд: техники, инструменты, код” »

Lateral Movement

Windows Persistence 2026 — Полный гайд: все техники закрепления с кодом

Posted on By AkaTor

Категория: Red Team / Offensive Security Уровень: Intermediate → Advanced Автор: Aka Tor Дата: Апрель 2026 Введение Persistence — механизм выживания после перезагрузки. Доступ получен, shell активен, но один reboot — и всё утрачено. Закрепление решает эту проблему. В 2026 году EDR-решения контролируют классические места (Run keys, Task Scheduler), однако десятки менее очевидных техник остаются…

Read More “Windows Persistence 2026 — Полный гайд: все техники закрепления с кодом” »

Windows Persistence