Вор расшифровка: ВОР | это… Что такое ВОР?

Главгосэкспертиза России

Оставьте свой отзыв

Государственная экспертиза проектной документации в части проверки достоверности определения сметной стоимости объекта капитального строительства

Подать документы в электронной форме

Государственная экспертиза проектной документации в части проверки достоверности определения сметной стоимости объекта капитального строительства

Подать документы в электронной форме

Технологический и ценовой аудит инвестиционного проекта

Ценообразование в строительстве

Найти сметный норматив

Консультационная услуга

Технологический и ценовой аудит обоснования инвестиций

Единый государственный реестр заключений

Перейти в Реестр

Проверка сметной стоимости

Экспертиза обоснования инвестиций

Важная информация

Показать еще

Новости

3 ноября 2022

Македонку очистят от ила

Читать материал

Новости

3 ноября 2022

«Колу» сделают светлее на подъезде к аэропорту Мурманска

Читать материал

Новости

2 ноября 2022

Утверждена Стратегия развития строительной отрасли России до 2030 года

Читать материал

Новости

2 ноября 2022

ЕЦПЭ объединяет опыт экспертиз

Читать материал

Показать еще

Все семинары

Вопрос-ответ. Вопросы по услугам

Подробнее

Вопрос-ответ

Государственная экспертиза проектной документации и (или) результатов инженерных изысканий

Подробнее

Вопрос-ответ

Государственная экспертиза проектной документации в части проверки достоверности определения сметной стоимости объекта капитального строительства

Подробнее

Вопрос-ответ

Ценообразование в строительстве

Подробнее

Вопрос-ответ

Единый государственный реестр заключений

Подробнее

Вопрос-ответ

Экспертное сопровождение проектов

Подробнее

Вопрос-ответ

Консультации

Подробнее

Все вопросы-ответы

Наличие готовых решений обеспечивает сокращение времени и затрат на проектные работы, безусловно, повышает их надежность

М. В. Котов

Главный специалист

Отдел объектов транспортного комплекса

В отношении особо охраняемых территорий режим «одного окна» станет дополнительной гарантией неприкосновенности. Так как экологическая и государственная экспертиза проводятся параллельно, то все замечания государственной экспертизы тут же находят отражение в проектной документации, к которой ровно такой же доступ имеют эксперты Росприроднадзора

О.В. Родивилова

Начальник Управления

Управление экологической экспертизы

В будущем многие отрезки БАМа планируют сделать двухпутными. Уже ведется строительство на участках от Усть-Кута до Северобайкальска и от Таксимо до Тынды. Работу осложняют условия вечной мерзлоты

Р.С. Рассказов

Главный специалист отдела комплексной экспертизы Красноярского филиала Главгосэкспертизы России

М.В. Котов

Главный специалист

Отдел объектов транспортного комплекса

О. В. Родивилова

Начальник Управления

Управление экологической экспертизы

Р.С. Рассказов

Главный специалист отдела комплексной экспертизы Красноярского филиала Главгосэкспертизы России

Берега Ангарска защитят от размыва и обрушений

Узнать больше о проекте

В горном аэропорту «Чара» в рамках нацпроекта удлинят взлетно-посадочную полосу

Узнать больше о проекте

М-4 «Дон» свяжут с Юго-Восточным обходом Боброва в Воронежской области

Узнать больше о проекте

Для скорого пути: через канал имени Москвы возведут второй железнодорожный мост

Узнать больше о проекте

Направленные съезды на транспортной развязке с А-121 «Сортавала» улучшат движение на КАД

Узнать больше о проекте

На Соловках реконструируют причальный комплекс «Тамарин»

Узнать больше о проекте

На перевалочном комплексе «Шесхарис» обновляют резервуарный парк

Узнать больше о проекте

На станции Находка-Восточная построят дополнительные пути

Узнать больше о проекте

Главгосэкспертиза России одобрила проект реставрации Консерватории имени Н. А. Римского-Корсакова

Узнать больше о проекте

На Сахалине улучшат транспортное сообщение с материком

Узнать больше о проекте

Экотехнопарку «Западная Сибирь» дали «зеленый свет»

Узнать больше о проекте

В Бодайбо по нацпроекту модернизируют аэропорт

Узнать больше о проекте

К 450-летию Уфы преобразится местный аэропорт

Узнать больше о проекте

В Калининграде откроется филиал Третьяковской галереи

Узнать больше о проекте

Аэропорт Геленджика реконструируют по нацпроекту

Узнать больше о проекте

Крылья Чукотки: в регионе по нацпроекту реконструируют два аэропорта

Узнать больше о проекте

Аэропорт Мурманска реконструируют в рамках нацпроекта

Узнать больше о проекте

Волховский шлюз реконструируют в рамках нацпроекта

Узнать больше о проекте

Пашковский по нацпроекту: главный аэропорт Юга обеспечат современной инфраструктурой

Узнать больше о проекте

Аэропорт Талаги реконструируют в рамках нацпроекта

Узнать больше о проекте

Black Ops Cold War – прохождение миссии с дискетой в Колд Вар

Заметки Погорского

Блог

Пошаговый гайд.

Одиночная кампания Call of Duty: Black Ops Cold War привносит несколько новых и довольно неожиданных механик, включая второстепенные миссии и головоломки. Самое сложное из необязательных заданий называется «Операция «Хаос» – в нем игроку предстоит найти и устранить критически важную цель. Загвоздка в том, что миссию нельзя пройти полностью без дополнительных данных, зашифрованных на дискете.

Угадать пароль практически невозможно, загуглить его тоже нельзя – в каждом прохождении генерируется собственный код. Придется найти несколько улик и решить загадку – в этом поможет наша инструкция.

Как найти улики «Операции «Хаос» в Call of Duty: Black Ops Cold War

Для расшифровки дискеты придется найти 3 улики, разбросанные по разным миссиям кампании. К счастью, в них можно вернуться с помощью доски улик в убежище вплоть до начала последней миссии – перед ее запуском игра предупредит о точке невозврата.

• Зашифрованное послание – его вы получите от Квазима в конце первой миссии «Некуда бежать», но только если не сбросите его с крыши. Вместо этого устройте допрос и вытяните информацию об Араше.

• Цифровая радиостанция – во время миссии «Кирпич в стене» вас попросят об одолжении: освободить или убить информатора, попавшего в плен. Идем на склад, где его держат, убиваем охранников и подбираем аудиозапись на столе.

• Первая полоса газеты «Наблюдатель» – во время миссии «Красный свет, зеленый свет» герои пройдут через фальшивый бар, расположенный посреди советского тренировочного полигона, стилизованного под американский город. На втором этаже здания лежит газета – это последняя необходимая улика.

Улики можно собирать в любом порядке, но для решения головоломки потребуются все 3.

Как расшифровать дискету

Теперь нужно использовать собранные подсказки, чтобы найти пароль – не ищите готовых решений в интернете, а просто следуйте инструкции ниже.

Как получить пароль и код:

• Пароль – откройте Зашифрованное послание и изучите, что в нем написано. Как вы видите, это последовательность красных и синих символов и букв, но одна из строк заполнена только цифрами и вопросительными знаками. Красные и синие числа написаны с некоторой закономерностью – у каждого она своя, так что вам придется решить математическую задачку как в начальной школе. Когда вы поймете, какие цифры пропущены, то сможете соотнести 4-значное число с одним из городов, указанных в радиовещании – это и есть пароль.

Одно из возможных решений на примере с картинки ниже. У красных чисел слева направо прибавляется по 6, а каждое синее число увеличивается на 1, 2, 3 и так далее. 

В данном случае красные числа получали + 6 каждый раз, меняя значение от 28 до 34, 40 и так далее. Синие числа увеличивались каждый раз на большее число, добавляя 1 к первому числу, 2 ко второму числу, 3 к третьему числу и так далее. Имейте в виду, что шаблоны и цифры в вашем прохождении будут немного отличаться. Значит, ответом будет «3478».

• Код – изучаем страницу газеты, смотрим на случайный набор символов, выделенных красным. Снова берем радиостанцию – одну из локаций можно собрать из тех самых красных символов. Соотносим с полученным городом, получаем код города – это и есть комбинация для расшифровки дискеты.

Теперь, после решения всех головоломок, выбираем в меню миссии пункт «Расшифровать дискету». Вводим в компьютер сперва 4-значный код, затем пароль и запускаем взлом. Теперь у вас есть необходимая информация для прохождения «Операции «Хаос».

Пост написан пользователем cyber.sports.ru

Создайте свой блог на Трибуне, выскажитесь и станьте суперзвездой cyber.sports.ru

Свежие записи в блоге

---

• Авторы ремейка Resident Evil 4 убили собаку из оригинала. Сволочи!
  21 октября, 17:49
• Все анонсы презентации Silent Hill. Ремейк Sh3, новый фильм и полноценное продолжение серии!
  19 октября, 23:59
• Кодзима забыл, что делает игры. Он тизерит Death Stranding 2, будто это фильм
  8 октября, 19:25
• 50 важнейших героев видеоигр
  30 сентября, 10:54
• Трейлер сериала по The Last of Us – совершенство! Разбираем отсылки
  27 сентября, 10:20
• Самая провальная игра года (онлайн – 11 человек!) Диски с ней уже ломают и отдают бесплатно
  23 сентября, 23:45
• «Человек-паук» с видом от первого лица – теперь реальность. Мод для игры на пустой желудок
  20 сентября, 14:50
• Карта GTA 6 уже в сети. Фанаты сами ее собрали
  20 сентября, 11:10

Удаление и расшифровка программ-вымогателей ThiefQuest для Mac

Если программа-вымогатель ThiefQuest использует свою вооруженную криптографическую реализацию для заражения Mac, вот что нужно сделать, чтобы удалить ее и восстановить поврежденные файлы.

Взятие важных файлов в заложники — это давняя уловка, поддерживающая чрезвычайно мощную киберпреступную индустрию, но это все еще относительно экзотический вектор атаки для ландшафта macOS. Есть несколько причин, по которым программы-вымогатели для Mac отстают от своих аналогов, нацеленных на ПК и серверы Linux. Операционная система Apple сводит к минимуму вероятность проникновения вредоносного кода в компьютеры при минимальном взаимодействии с пользователем, гарантируя, что каждый экземпляр установки программного обеспечения основан на обоснованном решении, а не на схеме «нулевого щелчка» или подобной схеме. Кроме того, меньшая пользовательская база удерживает внимание злоумышленников от развертывания угроз шифрования файлов в массовом масштабе в этой среде. И тем не менее, ряд мерзавцев, таких как KeRanger и Patcher, уже проложили путь этому явлению в мир Mac. Последний называется ThiefQuest , кажется, развивает эту тенденцию, но его неортодоксальная тактика размывает это впечатление.

Рассматриваемый троянец-вымогатель дебютировал как EvilQuest в июне 2020 года. Это название было придумано исследователями, а не элементом злонамеренного проявления преступника. Несколько недель спустя белые шляпы назвали его ThiefQuest, чтобы избежать ассоциации с одноименной популярной видеоигрой. Новое наименование также более точно отражает сущность вредителя – этот аспект будет объяснен ниже. В рамках своей стратегии вымогательства вирус сбрасывает спасательную записку под названием 9.0004 READ_ME_NOW.txt . Содержание этого документа позволяет жертве узнать, почему файлы больше не доступны, и предоставляет биткойн-адрес для отправки выкупа. Довольно странно то, что размер выкупа невелик по сравнению с размером, установленным основными паразитами, шифрующими данные. Он установлен на сумму 50 долларов США в BTC.

Специальное предложение
Вымогатель ThiefQuest может повторно заразить ваш Mac несколько раз, если вы не удалите все его фрагменты, включая скрытые. Поэтому рекомендуется скачать Combo Cleaner и просканировать вашу систему на наличие этих упрямых файлов. Таким образом, вы можете сократить время очистки с часов до минут. Загрузить сейчас _{Узнайте, как работает ComboCleaner. Если утилита обнаружит вредоносный код, вам нужно будет купить лицензию, чтобы избавиться от него.}

Эта необычно маленькая плата является одним из признаков того, что в деятельности ThiefQuest что-то не так. Еще одна странность заключается в том, что биткойн-адрес статичен, то есть он одинаков для каждого зараженного пользователя Mac. Это означает, что кто бы ни руководил этой кампанией, никак не может выяснить, кто заплатил выкуп, а кто нет. Это противоречит порочному принципу вымогательства программ-вымогателей и предполагает, что вредоносная программа могла быть создана для другой цели. Какова же тогда мотивация преступников? Это может быть попытка использовать инфекцию в качестве приманки, которая прикрывает еще одну нечестную игру. Эта теория приобретает дополнительный оттенок правдоподобия после анализа запутанных особенностей ThiefQuest.

Вредоносный код поставляется с бэкдор-модулем, который позволяет злоумышленникам поддерживать постоянный доступ к Mac, на котором он работает. Программа-вымогатель также использует компонент кейлоггера, который фиксирует все, что жертва вводит на своей машине. Эта информация включает в себя, среди прочего, пароли, учетные данные криптовалютного кошелька и номера кредитных карт. Как только приложение-нарушитель собирает эти данные, оно незаметно отправляет их на сервер Command & Control (C2). Тем временем личные файлы пользователя, зашифрованные с помощью 256-битного шифра Advanced Encryption Standard (AES), остаются заблокированными, и у мошенников нет шансов получить расшифровщик из-за описанной выше жестко закодированной причуды адреса BTC. В данных обстоятельствах 72-часовой крайний срок платежа, упомянутый в примечании о выкупе READ_ME_NOW.txt, не имеет никакого смысла и кажется, что все лает и не кусается. ThiefQuest оправдывает свое новое название, потому что в первую очередь стремится украсть файлы, а не заработать грязную прибыль своих операторов.

Этот вымогатель распространяется через троянизированные версии популярных приложений, доступных на торрент-ресурсах. В комплект поставки ThiefQuest входит несколько программ: утилита брандмауэра Little Snitch , инструмент для редактирования аудиоконтента Ableton и приложение для микширования Mixed In Key DJ. Интересно, что рабочий процесс заражения включает в себя серию диалогов подтверждения, на которые потенциальная жертва должна нажать. Другими словами, заразиться не так-то просто. Однако на самом деле это не предотвращает проникновение программ-вымогателей на многочисленные компьютеры Mac. Зараженные должны винить в этом свою невнимательность и безудержную тягу к халяве. В любом случае, если атака произошла и ThiefQuest зашифровал большую часть ценных данных на Mac, описанные ниже шаги должны помочь жертве. Имейте в виду, что удаление программ-вымогателей должно предшествовать попыткам восстановления данных; в противном случае повторное шифрование неизбежно.

Ручное удаление программы-вымогателя ThiefQuest для Mac

Приведенные ниже шаги помогут вам удалить это вредоносное приложение. Обязательно следуйте инструкциям в указанном порядке.

1. Разверните меню Go на панели Finder вашего Mac и выберите Utilities , как показано ниже.

2. Найдите значок Activity Monitor на экране «Утилиты» и дважды щелкните его.

3. В приложении Activity Monitor найдите questd или другой подозрительный процесс. Чтобы сузить поиск, сосредоточьтесь на незнакомых ресурсоемких записях в списке. Имейте в виду, что его название не обязательно связано с тем, как проявляется угроза, поэтому вам нужно доверять своему собственному суждению. Если вы определили виновника, выберите его и щелкните значок Stop в верхнем левом углу экрана.

4. Когда появится всплывающее диалоговое окно с вопросом, уверены ли вы, что хотите выйти из процесса создания проблем, выберите Принудительный выход Опция.

5. Щелкните значок меню Перейти в Finder еще раз и выберите Перейти в папку . Вы также можете использовать сочетание клавиш Command-Shift-G .

6. Введите /Library/LaunchAgents в диалоговом окне поиска папки и нажмите кнопку Go .

7. Проверьте содержимое папки LaunchAgents на наличие подозрительных элементов. Имейте в виду, что имена файлов, созданных вредоносными программами, могут не давать четких указаний на то, что они являются вредоносными, поэтому вам следует искать недавно добавленные объекты, которые кажутся отклоняющимися от нормы.

   В качестве иллюстрации приведем несколько примеров LaunchAgent, связанных с распространенными инфекциями Mac: com. pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, и com.msp.agent.plist. . Если вы заметили файлы, которых нет в списке, перетащите их в корзину.

8. Снова используйте функцию поиска Перейти к папке , чтобы перейти к папке с именем ~/Library/Application Support (обратите внимание на символ тильды перед путем).

9. При открытии каталога поддержки приложений определите в нем недавно созданные подозрительные папки и отправьте их в корзину. Небольшой совет: ищите элементы, названия которых не имеют ничего общего с продуктами или приложениями Apple, которые вы сознательно установили. Несколько примеров известных вредоносных имен папок: AppQuest , LinkBranch , SystemSpecial и IdeaShared .

10. Введите ~/Library/LaunchAgents (не забудьте указать символ тильды) в области поиска Перейти к папке .

11. Система отобразит LaunchAgents, находящиеся в домашнем каталоге текущего пользователя. Найдите com.apple.questd.plist или другие подозрительные элементы, связанные с программой-вымогателем ThiefQuest (см. логику, выделенную в подразделах выше), и перетащите подозреваемых в корзину.

12. Введите /Library/LaunchDaemons в поле поиска Перейти в папку .

13. В пути LaunchDaemons попытайтесь определить файлы, которые вредоносное ПО использует для сохранения. Несколько примеров таких элементов, обрезанных заражением Mac: com.apple.questd.plist , com.startup.plist и com.ExpertModuleSearchDaemon.plist . Немедленно удалите отрывочные файлы.

14. Щелкните значок меню Go в Finder вашего Mac и выберите Applications в списке.

15. Найдите запись для AppQuest или другого приложения, которое явно не относится к ним, и переместите его в корзину. Если для этого действия требуется пароль администратора для подтверждения, введите его.

16. Разверните меню Apple и выберите Системные настройки .

17. Перейдите к Пользователи и группы и щелкните вкладку Элементы входа .
    Система отобразит список элементов, запускаемых при включении компьютера. Найдите AppQuest или другое потенциально нежелательное приложение и нажмите кнопку «-» (минус).

18. Теперь выберите Профили в Системных настройках. Найдите вредоносный элемент на левой боковой панели. Несколько примеров профилей конфигурации, созданных рекламным ПО для Mac, включают TechSignalSearch , MainSearchPlatform , AdminPrefs и Chrome Settings . Выберите объект-нарушитель и нажмите на знак минус внизу, чтобы устранить его.
    Если ваш Mac был заражен рекламным ПО, заражение, скорее всего, продолжит влиять на ваш веб-браузер по умолчанию даже после того, как вы удалите основное приложение вместе с его компонентами, разбросанными по системе. Воспользуйтесь приведенными ниже инструкциями по очистке браузера, чтобы устранить оставшиеся последствия этой атаки.

Восстановление файлов, зашифрованных программой-вымогателем ThiefQuest Mac

Единственный способ вернуть данные — восстановить их из ранее созданной резервной копии. Поскольку ThiefQuest действует как вайпер, а не как классический троянец-вымогатель Mac, оплата выкупа ни к чему не приведет с вашими усилиями по восстановлению. Поэтому, если вы были достаточно предусмотрительны, чтобы поддерживать резервные копии важных файлов, следующие шаги помогут вам в этом отношении:

1. Разверните раскрывающееся меню Перейти в Finder и выберите Утилиты .
2. Найдите Migration Assistant и дважды щелкните по нему.

3. Нажмите Продолжить .

4. На следующем экране будет задан вопрос, как вы хотите передать свою информацию. Выберите вариант с надписью «С Mac, резервной копии Time Machine или загрузочного диска» и нажмите Продолжить .

5. Выберите соответствующую резервную копию Time Machine, которую вы ранее сделали, и нажмите Продолжить еще раз.

6. Укажите, какую информацию вы хотите передать, и нажмите Продолжить , чтобы начать процесс. Имейте в виду, что это может занять несколько часов, в зависимости от объема восстанавливаемых данных. Так что наберитесь терпения и не торопитесь — результат того стоит. Вы восстановите доступ к своим ценным файлам.

Важно помнить, что вы должны приступать к восстановлению файлов только после того, как программа-вымогатель ThiefQuest будет полностью удалена с вашего Mac. В противном случае вредоносное приложение повторно зашифрует ваши данные. Если описанные выше шаги по удалению вручную оказались недостаточно эффективными, перейдите к следующему разделу, чтобы навсегда избавиться от угрозы.

Избавьтесь от программы-вымогателя ThiefQuest с помощью средства удаления Combo Cleaner

Приложение для обслуживания и обеспечения безопасности Mac под названием Combo Cleaner — это универсальное средство для обнаружения и удаления вируса ThiefQuest. Этот метод имеет существенные преимущества по сравнению с ручной очисткой, поскольку утилита получает ежечасные обновления описаний вирусов и может точно обнаруживать даже самые новые заражения Mac.

Кроме того, автоматическое решение найдет основные файлы вредоносного ПО глубоко в структуре системы, найти которые в противном случае было бы проблематично. Вот пошаговое руководство, чтобы разобраться с проблемой ThiefQuest с помощью Combo Cleaner:

1. Загрузить программу установки Combo Cleaner . Когда закончите, дважды щелкните файл combocleaner.dmg и следуйте инструкциям, чтобы установить инструмент на свой Mac.

   Загрузить Combo Cleaner

   Загружая любые приложения, рекомендованные на этом веб-сайте, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Бесплатный сканер проверяет, заражен ли ваш Mac. Чтобы избавиться от вредоносных программ, вам необходимо приобрести Премиум-версию Combo Cleaner.

2. Откройте приложение с панели запуска и дайте ему запустить обновление базы данных сигнатур вредоносных программ, чтобы убедиться, что оно может идентифицировать последние угрозы.
3. Нажмите кнопку Start Combo Scan , чтобы проверить ваш Mac на предмет вредоносной активности, а также проблем с производительностью.

4. Изучите результаты сканирования. Если в отчете написано «Нет угроз», значит, вы на правильном пути с ручной очисткой и можете безопасно приступить к очистке веб-браузера, который может продолжать работать из-за последствий атаки вредоносного ПО (см. Инструкции выше). ).

5. Если Combo Cleaner обнаружил вредоносный код, нажмите кнопку Удалить выбранные элементы и утилита удалит угрозу ThiefQuest вместе с любыми другими вирусами, ПНП (потенциально нежелательными программами) или ненужными файлами, которые не принадлежат ваш Мак.

6. После того, как вы дважды убедились, что вредоносное приложение удалено, восстановление данных по-прежнему находится в вашем списке дел. Обратитесь к предыдущему разделу этого руководства, чтобы вернуть свои файлы, если вы делали резервные копии с помощью Time Machine.

Возврат зашифрованных приложений Win32Apps из Intune

Последнее обновление: 28 сентября 2022 г., rudyooms

. Помимо этого альтернативного метода, я также покажу вам, какое отношение MDMDeviceCertificate имеет к расшифровке.

Я разделю этот блог на несколько частей

1. Introduction
2. The MDM Certificate
3. Plan B
4. The Script
5. The App
6. IEXPRESS

Some time ago Oliver created a fantastic tool to get верните Win32Apps из Intune.

Как декодировать пакеты приложений Intune Win32 — Современные ИТ — Облако — Рабочее место (oliverkieselbach.com)

Позвольте мне начать с процесса доставки Win32App клиенту

*Источник: Совет службы поддержки. Понимание процесса развертывания, доставки и обработки приложения Win32 с помощью Intune — Intune | Microsoft Docs

Но как-то что-то изменило ! Раньше можно было вернуть эти файлы с помощью EncryptionInfo из файлов журнала управления Intune.

Когда вы упаковываете приложение, эта необходимая информация о шифровании сохраняется в файле metadata\Detection.xml

Этот EncryptionInfo содержал необходимые EncryptionKey и InitializationVector. Эта информация была необходима для декодирования файла BIN, но «к счастью» что-то изменилось!

Эта конфиденциальная информация/ была удалена из файлов журнала IME в эти дни. У меня есть некоторые смешанные чувства по этому поводу, так как это очень раздражает, что эта информация удалена, но опять же, ее не должно быть там в первую очередь.

Оливер узнал, что можно изменить, чтобы он снова заработал!

Отладка IME и декодирование приложения Intune Win32 — Часть 2 — Современные ИТ — Облако — Рабочее место (oliverkieselbach. com)

Наверное, я чувствую себя довольно глупо, читая это, поскольку я пытался сделать то же самое, что и Оливер :). Я возился с Microsoft.Management.Services.IntuneWindowsAgent.exe.config 24/03

, но каким-то образом я изменил его на «Отладка» ???

Как указывает Оливер в своей фантастической части 2 блога, вам нужно изменить его на «Многословный» !!!!!

Думаю, снова RTFM

Поэтому, пожалуйста, прочитайте его блог Оливера, чтобы получить все подробности и обновленный скрипт! Небольшое резюме

Будет показано Decryptinfo ! и вы можете использовать инструмент Оливера, чтобы расшифровать его!

При внимательном рассмотрении процесса установки Win32App кажется, что этот сертификат устройства MDM Intune инициирует процесс загрузки, а зашифрованный файл BIN будет расшифрован IME с помощью файла обнаружения.xml. Как показано ниже, Microsoft. Management.Services.IntuneWindowsAgent.exe пытается прочитать сертификат MDM, когда вы инициализируете загрузку приложения!

Конечно, использование MDMDeviceCertificate также будет отображаться в журнале IME после завершения загрузки приложения!

Ммм… мне интересно… потому что, оглядываясь назад на мой блог Fiddler , я также использовал общедоступную часть сертификата MDM в сочетании с Fiddler для расшифровки HTTPS-трафика Intune/MDM

Мне стало любопытно… Как и в случае с операциями TPM , EKPriv (частная часть EkCert) используется для расшифровки данных . Почему бы приватной части MDMDeviceCertificate не сделать то же самое?

Поэтому я решил попробовать что-то «глупое», чтобы убедиться, что MDMDeviceCertificate каким-то образом также участвует в операции расшифровки (помимо metadata. xml ). В обычной ситуации у нас есть закрытый ключ , который соответствует этому сертификату

При поиске этого закрытого ключа вы найдете закрытую часть/ключ этого сертификата в папке c:\programdata\microsoft\crypto. Папка \RSA\MachineKeys .

Вы можете узнать сами, запустив этот сценарий PowerShell, чтобы определить, какой файл вам нужен

 $a = Get-ChildItem Cert:\LocalMachine\My\ | где {$_.issuer -like "*Устройство Microsoft Intune MDM*"}
$a = $a.thumbprint
$a = Get-Item Cert:\LocalMachine\My\$a
$a.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
 

Когда вы его откроете, то точно будете знать, что это именно тот файл, который нам нужен! В нем упоминается ConfigMgrEnrollment и некоторые зашифрованные данные вместе со зашифрованными свойствами закрытого ключа .

Я решил взять на себя права доступа к системному файлу и переместить его в другое место… в новую папку. После переноса системного файла возможность экспортировать приватный ключ пропала!

Но я еще не закончил, потому что давайте запустим установку Win32App с корпоративного портала, чтобы проверить, что произойдет без закрытого ключа.

Как показано ниже, файл успешно загружен в папку Incoming , поскольку общедоступная часть сертификата все еще существует для связи с Microsoft

После загрузки файла BIN он будет разархивирован/расшифрован в папку Staging . Как показано ниже, создается папка GUID, но на этот раз без содержимого!

Как и ожидалось, приложение не установилось! Давайте откроем журнал IME, хорошо?

Как показано выше, после загрузки приложения оно будет искать сертификат MDM и попытается расшифровать файл BIN с помощью закрытого ключа. Вы можете догадаться, что произойдет, когда этот закрытый ключ исчезнет: Ошибка дешифрования .

Каким-то образом Microsoft.Management. Clients.IntuneManagementExtension.Win32AppPlugIn звучит знакомо? Как показано ниже… Думаю, да.

Как показано выше, этот файл DLL существует в папке Microsoft Intune Management Extension. Давайте откроем этот файл DLL в dotPeek 9.0007

When we have opened that file, we will notice the same compiled elements as we noticed earlier in the IME log

• MessageEncryptionHelper
• MessageEncryptionHelperWrapper
• ContenDownloaderDecryptor

So for now, I archived my первую идею и перешел к следующей идее, злоупотребив папкой IMECache .

При запуске установки Win32App из приложения Корпоративного портала зашифрованный bin-файл будет загружаться в папку «C:\Program Files (x86)\Microsoft Intune Management Extension\Content\incoming» папка и расшифрована в папку «C:\Program Files (x86)\Microsoft Intune Management Extension\Content\staging» .

После фазы расшифровки этот ZIP-файл будет распакован в папку c:\Windows\IMECache . Если вы хотите узнать больше обо всем этом потоке, пожалуйста, прочитайте мой блог ниже. В этом блоге я объясняю весь процесс IME.

При распаковке файла из промежуточной папки в IMECache Учетная запись «Система» должна иметь права доступа к этой папке «IMECache» . Угадайте, что произойдет, если системной учетной записи будет отказано в правах на запись в эту папку? В яблочко!

ZIP-файл не может быть успешно распакован в папку IMECache , и он останется в папке de staging.

На данный момент, я думаю, мы могли бы просто получить этот zip-файл из этой папки?

Давайте посмотрим на сам скрипт PowerShell. Обратите внимание: Это инструмент по-прежнему версии 1, поэтому его еще нужно доработать! Если вам интересно, загрузите скрипт PowerShell здесь:

https://call4cloud.nl/wp-content/uploads/2022/05/backupwin32apps. zip

Обратите внимание, : я все еще работаю над этим… так что пожалуйста, не кричите мне, если что-то пошло не так, как планировалось 🙂

Загрузите EXE-версию этого инструмента ниже!

https://call4cloud.nl/wp-content/uploads/2022/05/BackupWin32AppsEXE.zip

Пожалуйста, обратите внимание : я сделал все возможное, чтобы ваш антивирус не заблокировал его, потому что при использовании инструмента PS2EXE эти преобразованные сценарии PowerShell будут обнаружены как вирус

Поэтому я выбрал IEXPRESS , встроенный в Windows инструмент. Я покажу вам , как я использовал этот инструмент в части 6 этого блога

Давайте посмотрим, как он выглядит при использовании этого инструмента. Конечно, вам нужно будет запустить инструмент от имени администратора

Сначала он предложит вам сообщение: разрешения для системной учетной записи будут настроены на отказ

После нажатия OK вам снова будет предложено нажать установить в приложении корпоративного портала, прежде чем нажимать OK !!!!! Это также говорит нам, что нам нужно подождать, пока установка приложения не покажет: Не удалось установить

Обратите внимание: при нажатии «Отмена» системные разрешения будут восстановлены! Убедившись, что мы нажали «установить» приложение на корпоративном портале, мы заметим, что папка в промежуточной папке создана, и она будет установлена. 0004 остается на месте!

Через секунду или 2 нам будет предложено восстановить разрешения

После нажатия OK промежуточная папка будет очищена, а также восстановлены разрешения на папку IMECache

Когда папка будет очищена вверх, будет показана папка с zip-файлом. Этот zip-файл содержит все данные вашего Win32App

Конечно, если не использовать TOOL , мы все равно можем повторить установку, и установка приложения пройдет успешно! Так что не беспокойтесь о том, что я нарушу ваши разрешения IMECache!

После попытки обфускации, преобразования сценария в Base64 и использования файла BAT для запуска сценария PowerShell я наткнулся на этот замечательный инструмент для сборки Windows: IEXPRESS. EXE

Этот превосходный инструмент обычно находится в моем Applocker. LOLBIN, но его также можно использовать для распространения автономных установочных пакетов и преобразования их в хороший исполняемый файл! Позвольте мне объяснить, как

В первом окне вам нужно будет выбрать: Извлечь файлы и запустить команду установки

Дав вашему проекту красивое название, убедитесь, что вы выбрали: Не запрашивать и не отображать лицензию

Теперь пришло время добавить сценарий PowerShell в мастер. Как показано ниже, я просто выбрал обычный сценарий PowerShell, который показывал вам ранее!

После того, как мы выбрали сам PowerShell, нам также нужно настроить запуск программы установки. Пожалуйста, убедитесь, что вы настроили -имя файла от до , чтобы оно соответствовало файлу, который вы выбрали на предыдущем шаге

PowerShell.exe -noprofile -Sta -executionpolicy bypass -File backupwin32apps.