OpenForum RSS: whomade - процесс, запоминающий кто создал файлы в отслеживаемых каталогах https://opennet.dev/openforum/vsluhforumID3/137628.html Для определения приложений, создающих расходующие дисковое пространство файлы в домашнем каталоге пользователя, подготовлен фоновый процесс whomade, отслеживающий появление новых файлов при помощи механизма fanotify. Проект написан на языке С++ и распространяется под лицензией GPLv3...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63761<br> whomade - процесс, запоминающий кто создал файлы в отслежива... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#156 Tue, 26 Aug 2025 15:12:24 GMT Это не есть уязвимость XATTR.<br><br>Если просто рисунок в архиве содержит вирус. Пользователь разархивировал папку с этим рисунком. Зашёл в эту папку, файловый менеджер с помощью уязвимой либы создал иконку и запустил экспорт с заражённого рисунка...<br><br>Здесь надо:<br>1. Использовать проактивную защиту на уровне ядра OS.<br>2. Проверять на вирусы архивы.<br>3. Обновлять уязвимые либы.<br> whomade - процесс, запоминающий какие программы создают файл... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#155 Tue, 26 Aug 2025 14:06:43 GMT Кто о чём а бедных о взломах, как бы поломать да урвать.<br>Заниматься трейсами и подписями должны фс с ядром, особенно когда в лине всё что не в ядре безбожно тормозит.<br><br>&gt; Ну скажи мне кто вот этим 123556.tmp в C:\TEMP нагадил?<br><br>Запусти "whomade -C:\TEMP\123556.tmp" и посмотри сам.<br><br>&gt; 3) Окей, и что при этих условиях помешает<br><br>То же что мешает хацкать ядро.<br><br><br>Лично мне нереализуемые в реале идеи всегда нравились так что инициатору плюс, пиши ещё)<br> whomade - процесс, запоминающий какие программы создают файл... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#154 Tue, 26 Aug 2025 13:55:55 GMT Вот как раз в квантовых кп все десцствия будут запротоколированны в отличии от сегодняшних счётообразных пк кооторые только 2 цифры переворачивать могут.<br> whomade - процесс, запоминающий какие программы создают файл... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#153 Tue, 26 Aug 2025 13:54:41 GMT Твоя оценка без аргументации ничего не стоит.<br> whomade - процесс, запоминающий кто создал файлы в отслежива... (eugener) https://opennet.dev/openforum/vsluhforumID3/137628.html#152 Tue, 26 Aug 2025 12:43:30 GMT &gt; Это уязвимость? Тени пальцем как ее эксплуатировать.<br><br>Речь шла конкретно про хранение иконки файла в EA, как в OS/2. <br>Т.е., например, можно назначить исполняемому файлу безобидную иконку.<br>Либо, если в системной библиотеке чтения изображений есть уязвимость &#8212; можно сформировать картинку, которая эксплуатирует эту уязвимость. Тогда, если пользователь откроет папку с разархивированным файлом &#173;&#8212; файловый менеджер прочитает иконку из EA и потенциально выполнит код.<br> whomade - процесс, запоминающий кто создал файлы в отслежива... (Антним) https://opennet.dev/openforum/vsluhforumID3/137628.html#151 Tue, 26 Aug 2025 12:40:02 GMT &gt; user.created_by<br><br>Стандартный атрибут надо использовать:<br><br>* user.creator<br>* user.xdg.publisher<br><br>https://www.opennet.ru/openforum/vsluhforumID3/137628.html#150<br> whomade - процесс, запоминающий кто создал файлы в отслежива... (Антним) https://opennet.dev/openforum/vsluhforumID3/137628.html#150 Tue, 26 Aug 2025 12:23:02 GMT tar --xattrs<br><br>Это уязвимость? Тени пальцем как ее эксплуатировать.<br><br>Активно используют XATTR:<br> * system.posix_acl_access<br> * security.capability<br> * security.ima<br> * security.evm<br> * security.selinux<br> * user.xdg.origin.url<br> * user.xdg.referrer.url<br><br>И требование к системам уровня B2 - все метки безопасности хранить вместе с файлом, в файловой системе, как его атрибуты.<br><br>Атрибут программы создавший файл также определен в стандартах:<br> * user.creator<br> * user.xdg.publisher<br><br>https://www.freedesktop.org/wiki/CommonExtendedAttributes/<br>https://wiki.archlinux.org/title/Extended_attributes<br> whomade - процесс, запоминающий кто создал файлы в отслежива... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#149 Tue, 26 Aug 2025 08:33:04 GMT Атрибуты файловых систем активно используются в GNU/Linux<br> * Использование старых ATTR необходимо, чтобы обеспечить безопасность по уровню C2<br> * Использование ACL необходимо для организации GPO и доменных политик<br> * Использование CAP необходимо, чтобы обеспечить безопасность по уровню B3 хотя теперь повсеместно частично используется вместо s-бита.<br> * Использование расширенных XATTR стандарт для хранения ссылок на скачанных файл, хеша файла, его цифровой подписи, ...<br><br> whomade - процесс, запоминающий какие программы создают файл... (Аноним) https://opennet.dev/openforum/vsluhforumID3/137628.html#148 Mon, 25 Aug 2025 09:23:09 GMT &gt;поэтому её сразу обходим стороной - использование этого продукта бустит карьеру его автора, а те, у кого такая общественная позиция, бустинга карьеры не заслуживают<br>&gt;Please don't use my work, if you are associated with Adolf Hitler, Stepan Bandera, George Soros, Michael Hodorkovsky<br><br>Да-да, обходите стороной<br>