Что такое в компьютере талисман

Talisman is a unified set of tools that automate typical data processing tasks, such as data retrieval, integration, analysis, storage and visualization. It makes possible the fast development of specialized multi-user analytical systems that merge and work uniformly with the data from private databases and Internet sources (including social networks).

Features and advantages

Talisman unifies the tools necessary for big data. It builds on two ISP RAS technologies: Dedoc, a system for document structure retrieval, and Texterra, a platform for extracting semantics from text. Talisman is comparable to world’s best competitors (Palantir Gotham and IBM Watson Content Analytics). Its advantage is automating routine analysis processes with state of the art research results (reducing resources required for manual analysis).

Talisman provides:

• A rich set of reusable components that have APIs for easy management and integration:

• Data retrieval components. They include a framework for Internet data collection, namely, from social media (Facebook, VKontakte, Twitter, Instragram, Odnoklassniki, Youtube, LinkedIn etc.), blogs, news, MediaWiki sites, developer portals etc. Also there’s a system for importing data from file storages and databases.
• Automatic data analysis components. Analysis tools are designed as Docker containers that are managed through APIs by the Talisman.Flow system (included in the Unified Register of Russian Programs as No.6045). The output is stored on hard disks or in databases (PostgreSQL, ElasticSearch, Cassandra etc). The basic services used are the Tesseract OCR system and own ISP RAS tools.
• Storage and indexing components. These include a number of databases and information search engines that store source data, automatic analysis results, and results of manual user work.

Talisman application areas

• Automated knowledge base construction for a given knowledge domain and non-stop monitoring for new information regarding objects of interest.
• Competitor intelligence based on open sources (OSINT).
• Detecting information campaigns that aim to manipulate target audience as well as detecting the target audience for a campaign.
• Detecting and analyzing means for disseminating information (used resources, people, bots) as well as analyzing community member communication roles (news source, opinion leader, disseminator, moderator, bot, commentator).
• Reputation management for persons and companies, including monitoring relevant news, detecting possible complaints, monitoring leaks and information disclosure.
• Staff management optimization including efficient recruitment, data verification, detecting hidden activity, assisting in developing motivational systems.
• Evaluating activity effectiveness objectively and testing strategies on a target audience to gather feedback.
• Finding and managing social tension to detect and prevent conflict escalation.

Supported languages

Talisman supports languages recognized by the Texterra analyzer, namely, Russian and English.

КОРОЧЕ ГОВОРЯ, ЧУДО-ПЛАНШЕТ

Обзор «славянских» игр (Талисман)

Источник: www.ispras.ru

История Tux’а – талисмана Linux

Талисманы

Обновлено 15.09.2021

Что такое демоны?

Демоны (англ. «daemons») — это работающие в фоновом режиме служебные программы (или процессы), целью которых является мониторинг определенных подсистем ОС и обеспечение её нормальной работы. Например, демон принтера контролирует возможности печати, демон сети контролирует и поддерживает сетевые коммуникации и т.д.

Демоны являются аналогом служб (services) в Windows: они выполняют определенные действия в заранее определенное время или в ответ на определенные события. Существует множество различных демонов, работающих в Linux, каждый из которых создан специально для наблюдения за своей собственной маленькой частью системы.

Так как демон — это процесс, который выполняется в фоновом режиме и обычно находится вне контроля пользователя, то у него нет управляющего терминала.

Процесс — это запущенная программа. В определенный момент времени процесс может либо выполняться, либо ожидать, либо быть «зомби».

В Linux существует три типа процессов:

Процессы переднего плана (или «интерактивные процессы») — это те процессы, которые запускаются пользователем в терминале.

Фоновые процессы (или «автоматические процессы») — это объединенные в список процессы, не подключенные к терминалу; они не ожидают пользовательского ввода данных.

Демоны (англ. «daemons») — это особый тип фоновых процессов, которые запускаются при старте системы и продолжают работать в виде системных служб; они не умирают.

Процессы переднего плана и фоновые процессы не являются демонами, хотя их можно запускать в фоновом режиме и выполнять некоторую работу по мониторингу системы. Для данных типов процессов необходимо участие пользователя, который бы их запускал. В то время как демонам для их запуска пользователь не требуется.

Когда завершается загрузка системы, процесс инициализации системы начинает создавать демоны с помощью метода fork(), устраняя необходимость в терминале (именно это подразумевается под «отсутствием управляющего терминала»).

Я не буду вдаваться в подробности работы метода fork(), отмечу лишь, что, хотя существуют и другие методы, традиционный способ создания дочернего процесса в Linux заключается в создании копии существующего процесса (посредством своеобразного «ответвления»), после чего выполняется системный вызов exec() для запуска другой программы.

Примечание: Термин «fork» не был взят с потолка. Он получил свое название от метода fork() из Стандартной библиотеки языка программирования Си. В языке Си данный метод предназначен для создания новых процессов.

Версии происхождения термина «daemon»

Есть несколько версий происхождения термина «daemon»:

Научная версия: Использование термина «daemon» в вычислительной технике произошло в 1963 году. Project MAC (сокр. от англ. «Project on Mathematics and Computation») — это проект по математике и вычислениям, созданный в Массачусетском технологическом институте.

Именно здесь термин «daemon» вошел в обиход для обозначения любого системного процесса, отслеживающего другие задачи и выполняющего предопределенные действия в зависимости от их поведения. Процессы были названы термином «daemons» в честь демона Максвелла.

Примечание: Демон Максвелла — это результат мысленного эксперимента. В 1867 году Джеймс Клерк Максвелл представил себе разумное и изобретательное существо, способное наблюдать и направлять движение отдельных молекул в заданном направлении. Цель мысленного эксперимента состояла в том, чтобы показать возможность противоречия второму закону термодинамики.

Талисман BSD: В операционных системах BSD есть свой талисман — красный чертёнок (этакая игра слов «daemon/demon»). BSD-демона зовут Beastie (Бисти), и его часто можно увидеть с трезубцем, который символизирует системный вызов fork(), активно используемый программами-демонами.

Примечание: «Бисти» по звучанию напоминает BSD (произносится как «Би-Эс-Ди»). При этом beastie является уменьшительной формой от слова beast (зверь).

Теологическая версия: Сторонники данной версии считают, что первоначальной формой произношения слова «daemon» было «daimon», что обозначает (по одной из версий) ангела-хранителя. В то время как «daemon» — помощник, «demon» — злой персонаж из Библии.

Примечание: Также «daemon» иногда произносится как «day-mon» или как рифма к слову «diamond».

Аббревиатура: Некоторые пользователи утверждают, что термин «daemon» является аббревиатурой от «Disk and Execution Monitor».

История tux’а – талисмана linux

1C-Bitrix 3D-принтер 5g Agile AMD Android API App Store Arduino ARM Asp.NET Bitcoin DeepMind DIY Ethereum F8 2021 Firefox Fuchsia Git Google Chrome Google I/O 2021 GTC 2021 HoloLens IDE iOS IT во время чумы JSON Linux macOS Microsoft Build 2021 NoSQL Open Source OpenAI Opera PlayStation Product Development QA Raspberry Pi ReactJS Redux SEO Slack Soft Skills Tesla Tproger Changelog Twitter Unity unix VPN Wi-Fi Windows 10 WordPress XBox YouTube Автопилот Алгоритмы Алгоритмы и структуры данных Алиса Анализ данных Аналитика Архитектура ПО Асинхронное программирование Баги и ошибки Базы данных Безопасность Безопасный код Беспилотники Бета Бизнес-аналитика Биотехнологии Браузеры Быстрый старт Бэкенд Взлом Визуализация Высокие нагрузки Головоломки Гостевая публикация Для мотивации Для начинающих Для продвинутых Для продолжающих Задачи повышенной сложности Задачи умеренной сложности Игра Игры для программистов Илон Маск Инструменты Инструменты командной строки Интересные проекты Интернет История IT История успеха Карьера Кибербезопасность Кодстайл Компиляторы Конкурс Tproger Конференции Красивый хак Лучшая практика Лучший язык 2020 Майнинг Маркетинг Массивы и строки Масштабируемость и ограничения памяти Материалы от друзей Tproger Мессенджер Методологии разработки Микросервисы Многопоточность Музыка На английском языке Навыки Низкоуровневое программирование Новый Год Образование Обучающие курсы Обучение программированию Объектно-ориентированное программирование Олимпиадное программирование Операционные системы Опрос Оптимизация Организация разработки Основные принципы программирования Отладка Павел Дуров Парсинг Партнёрский материал Паттерны проектирования Персональные данные Пост пользователя Приложение Производительность Процессор Работа Распознавание Реактивное программирование Ретро Россия Сервер Сервисы Сетевые протоколы Собеседование Советы Социальные сети Стартапы Статистика Стоит прочитать Суперкомпьютеры Угадайки Утечка данных Уязвимость Форматы хранения данных Фреймворки Функциональное программирование Хакеры Хобби Чипокалипсис Шпаргалки Языки программирования

Примеры демонов в linux

Наиболее распространенный способ идентификации демона в Linux — это поиск процесса, имя которого заканчивается буквой d. Есть много способов увидеть работающих демонов. Их можно отследить в списках процессов через такие команды, как: ps, top, htop, а также pstree.

Команда pstree показывает процессы, запущенные в настоящее время в нашей системе, и отображает их в виде древовидной диаграммы. Откройте терминал и введите следующую команду:

Вывод команды pstree — это довольно хорошая иллюстрация того, что происходит с нашей системой. Перед нами появился список всех запущенных процессов, среди которых можно заметить и несколько демонов: cupsd, dbus-daemon, kdekonnectd, packagekitd и некоторые другие.

Вот несколько «популярных» примеров демонов, которые могут работать в вашей системе:

systemd — это системный демон, который (подобно процессу init) является родителем (прямым или косвенным) всех других процессов, и имеет PID=1.

rsyslogd — используется для регистрации системных сообщений. Это более новая версия syslogd, имеющая несколько дополнительных функций.

udisksd — обрабатывает такие операции, как: запрос, монтирование, размонтирование, форматирование или отсоединение устройств хранения данных (жесткие диски, USB-флеш-накопители и пр.).

logind — крошечный демон, который различными способами управляет входами пользователей в систему.

sshd — демон, отвечающий за управление службой SSH. Используется практически на любом сервере, который принимает SSH-соединения.

ftpd — управляет службой FTP. Протокол FTP (сокр. от англ. «File Transfer Protocol») является широко используемым протоколом для передачи файлов между компьютерами, где один компьютер действует как клиент, другой — как сервер.

crond — демон планировщика заданий, зависящих от времени. С его помощью можно выполнять обновление программного обеспечения, проверку системы и пр.

Источник: magicoracle.ru

Опасный талисман. Изучаем вредонос Talisman на практике

В 2022 году нес­коль­ко анти­вирус­ных ком­паний опуб­ликова­ли обзо­ры написан­ного на C бэк­дора из семей­ства PlugX под наз­вани­ем Talisman. На при­мере это­го тро­яна мы раз­берем, как выпол­няет­ся динами­чес­кий и ста­тичес­кий ана­лиз вре­донос­ного ПО, а так­же соз­дадим собс­твен­ные сиг­натуры для детек­тирова­ния иссле­дуемо­го образца.

Бэк­доры это­го семей­ства извес­тны с мар­та 2022 года и доволь­но хорошо изу­чены. Впер­вые опи­сала его воз­можнос­ти ком­пания Trellix, схо­жий модуль так­же опи­сыва­ет ком­пания Dr.Web под наз­вани­ем BackDoor.PlugX.38. Кон­крет­но этот обра­зец пред­став­ляет собой мно­гоком­понен­тную вре­донос­ную прог­рамму, которая попада­ет на компь­ютер жер­твы бла­года­ря дру­гому тро­яну‑заг­рузчи­ку и работа­ет в опе­ратив­ной памяти машины.

Вре­донос сос­тоит из трех ком­понен­тов: исполня­емо­го фай­ла SNAC.EXE, име­юще­го дей­стви­тель­ную циф­ровую под­пись, который заг­ружа­ет модифи­циро­ван­ную зло­умыш­ленни­ками динами­чес­кую биб­лиоте­ку WGXMAN.DLL с помощью тех­ники DLL side-loading. В свою оче­редь, биб­лиоте­ка содер­жит зашиф­рован­ный файл SNAC.LOG, в котором спря­тана полез­ная наг­рузка. Биб­лиоте­ка запус­кает шелл‑код в фун­кции DllMain и рас­шифро­выва­ет файл SNAC. LOG . Далее исполня­емый код, получен­ный пос­ле рас­шифров­ки это­го фай­ла, извле­кает кон­фигура­цию PlugX Talisman, а так­же основную полез­ную наг­рузку PlugX, тоже пред­став­ленную в виде динами­чес­кой биб­лиоте­ки. Она содер­жит основной модуль вре­доно­са PlugX Talisman, который заг­ружа­ется в память про­цес­са SNAC. EXE .

В этой статье мы изу­чим обра­зец вре­донос­ной прог­раммы, научим­ся про­водить ее ана­лиз, най­дем инте­рес­ные учас­тки в коде модуля, рас­шифру­ем файл SNAG. LOG , а так­же получим кон­фигура­цию PlugX Talisman и извле­чем основную полез­ную наг­рузку PlugX.

info

О том, как из под­ручных матери­алов с помощью сме­кал­ки и уме­лых рук пос­тро­ить скво­реч­ник лабора­торию для ана­лиза вре­доно­сов, под­робно рас­ска­зано в статье «Код под над­зором. Соз­даем вир­туаль­ную лабора­торию для ана­лиза мал­вари».

Инструментарий

Для даль­нейше­го иссле­дова­ния вре­донос­ного фай­ла вос­поль­зуем­ся сле­дующим соф­том:

1. DIE — прог­рамма для опре­деле­ния типов фай­лов.
2. PeStudio — прог­рамма для поис­ка арте­фак­тов в исполня­емых фай­лах.
3. IDA Pro — инте­рак­тивный дизас­сем­блер, исполь­зуемый для реверс‑инжи­нирин­га.
4. Wireshark — инс­тру­мент для ана­лиза сетевых про­токо­лов.
5. Burp Suite — исполь­зует­ся в качес­тве проз­рачно­го прок­си‑сер­вера с целью ана­лиза вза­имо­дей­ствия вре­донос­ного фай­ла по про­токо­лу HTTPS.
6. Loki Scanner — ска­нер IOCs.
7. YaraEditor — прог­рамма для тес­тирова­ния и соз­дания пра­вил YARA.
8. ApiLogger — ути­лита для ана­лиза вызыва­емых WinAPI-фун­кций иссле­дуемо­го вре­доно­са.
9. x64dbg — отладчик с откры­тым исходным кодом для Windows, пред­назна­чен­ный для ана­лиза вре­донос­ных прог­рамм.
10. Process Hacker — ути­лита для монито­рин­га про­цес­сов и служб.
11. Пла­гин mkYARA для IDA — пла­гин для генера­ции пра­вил YARA на осно­ве кода.

Первичный анализ

Преж­де чем прис­тупать к ревер­су фай­лов, получим пер­вичную информа­цию об иссле­дуемых образцах. Заг­рузим файл SNAC. EXE в PeStudio. При ана­лизе необ­ходимо обра­тить вни­мание на стро­ки, под­клю­чаемые биб­лиоте­ки, вер­сии фай­лов, сер­тифика­ты, а так­же на све­дения о фай­ле отладки, которые в некото­рых слу­чаях помога­ют атри­бути­ровать раз­работ­чика.

Пе­рей­дем на вклад­ку Version.

Ори­гиналь­ное имя фай­ла — SNAC. exe , циф­ровая под­пись ука­зыва­ет на то, что файл раз­работан ком­пани­ей Symantec Corporation.

Файл отладки рас­положен по сле­дующе­му пути:

C: bld_ area sesagent70 snac_ build bin. ira snac. pdb

Пе­рей­дем на вклад­ку Libraries.

PeStudio опре­деля­ет спи­сок биб­лиотек, которые зло­умыш­ленни­ки исполь­зуют при написа­нии вре­доно­са. Перей­дем на вклад­ку Сertificate.

Файл SNAC. exe явля­ется под­писан­ным, безопас­ным фай­лом. Теперь откро­ем файл WGXMAN. DLL в PeStudio.

В фай­ле при­сутс­тву­ет стро­ка о фай­ле отладки:

C: bld_ area sesagent70 snac_ build bin. ira wgxman. pdb

Пе­рей­дем на вклад­ку Strings, в которой мож­но обна­ружить стро­ку SNAC. LOG .

Те­перь выпол­ним поведен­ческий ана­лиз, получим информа­цию о про­цес­се и запишем сетевой тра­фик. Запус­тим исполня­емый файл SNAC. EXE , затем откро­ем Process Hacker и соберем информа­цию о про­цес­се.

warning

Не рекомен­дует­ся иссле­довать вре­донос­ные прог­раммы на рабочей опе­раци­онной сис­теме, пос­коль­ку это может при­вес­ти к зараже­нию машины и уте­ре цен­ных дан­ных.

Пос­ле запус­ка исполня­емо­го фай­ла вре­донос соз­дал дочер­ний про­цесс conhost. exe .

Наж­мем два раза на имя это­го про­цес­са, откро­ем вклад­ку Modules.

Как вид­но из рисун­ка, вре­донос заг­рузил динами­чес­кую биб­лиоте­ку WGXMAN. dll . Пос­мотрим генери­руемый при­ложе­нием тра­фик.

Мо­дуль PlugX Talisman начина­ет уста­нав­ливать сетевое вза­имо­дей­ствие с управля­ющим сер­вером dhsg123[.] jkub[.] com . Пос­ле получе­ния адре­са домена уста­нав­лива­ется TCP-соеди­нение по пор­ту 80.

Так­же иссле­дуемый обра­зец обра­щает­ся к управля­юще­му сер­веру по про­токо­лу HTTP.

В резуль­тате пер­вично­го ана­лиза мы получи­ли информа­цию о вре­донос­ном про­цес­се, узна­ли адрес управля­юще­го сер­вера, уста­нови­ли про­токол вза­имо­дей­ствия, а так­же обна­ружи­ли инте­рес­ные стро­ки и опи­сание фай­лов.

Разбор малвари

Прис­тупим к под­робно­му иссле­дова­нию кода. Динами­чес­кий ана­лиз будем про­водить с исполь­зовани­ем ути­литы x64dbg. Ана­лиз псев­докода выпол­ним в IDA Pro с уста­нов­ленным пла­гином HexRays. Что­бы получить наибо­лее пол­ный резуль­тат, при ана­лизе вре­донос­ных прог­рамм необ­ходимо ком­биниро­вать инс­тру­мен­ты.

Прог­рамма SNAC. EXE пред­став­ляет собой безопас­ный исполня­емый файл, который име­ет валид­ную циф­ровую под­пись. Его основная задача — заг­рузка динами­чес­кой биб­лиоте­ки WGXMAN. DLL методом DLL side-loading. Пос­ле заг­рузки биб­лиоте­ки выпол­нение переда­ется на фун­кцию экспор­та DllMain . Далее динами­чес­кая биб­лиоте­ка рас­шифро­выва­ет исполня­емый код в фай­ле SNAC.

LOG и переда­ет выпол­нение на него.

Прис­тупим к ана­лизу. Для это­го заг­рузим исполня­емый файл SNAC. EXE в ути­литу x64dbg, в которой будем про­водить отладку. Так­же заг­рузим динами­чес­кую биб­лиоте­ку WGXMAN. DLL в IDA.

Для про­веде­ния динами­чес­кого ана­лиза необ­ходимо най­ти точ­ку оста­нова, с которой начина­ется выпол­нение основных фун­кций прог­раммы. Для это­го про­ана­лизи­руем код заг­ружа­емой биб­лиоте­ки и най­дем фун­кцию, под­ходящую для этой цели.

В IDA откры­ваем вклад­ку File → Open и выбира­ем файл WGXMAN. DLL . Пос­ле заг­рузки фай­ла мы попада­ем на фун­кцию DllMain . Далее деком­пилиру­ем код, исполь­зуя пла­гин HexRays, для это­го нажима­ем кла­вишу F5. И син­хро­низи­руем ана­лиз кода на вклад­ке IDA View-A и Pseudocode-A, для чего перене­сем вклад­ку Pseudocode-A в пра­вую часть вклад­ки IDA View-A. Нажати­ем пра­вой кноп­ки мыши выберем Syncronize with → IDA View-A, теперь при выборе учас­тка кода он будет под­све­чивать­ся в каж­дой вклад­ке.

Пе­рехо­дим в фун­кцию sub_6FE443C , эта фун­кция и будет точ­кой вхо­да во вре­мя динами­чес­кой отладки. Про­ана­лизи­руем ее.

Фун­кция sub_6FE42A0 слу­жит для получе­ния спис­ка фун­кций экспор­та динами­чес­кой биб­лиоте­ки kernel32. dll .

Нач­нем отладку в x64dbg. Для это­го перей­дем к фун­кции sub_6FE443C нажати­ем сочета­ния кла­виш Ctrl-G, затем наберем адрес фун­кции и раз­берем алго­ритм рас­шифров­ки кон­стант.

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник: xakep.ru