Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Заглядываем внутрь ESE: от B+ деревьев до артефактов Windows

18.06.2026 09:53:30 | Хабр

Хабы: Блог компании Positive Technologies, Информационная безопасность, Программирование

Меня зовут Григорий Гришаев. Я работаю младшим специалистом в департаменте комплексного реагирования на киберугрозы в экспертном центре безопасности Positive Technologies (PT ESC) и занимаюсь разработкой парсеров различных файловых артефактов.

В ходе расследований нашей команде регулярно приходится работать с артефактами, собранными с хостов под управлением Windows. Среди них часто встречаются базы данных в формате ESE (Extensible Storage Engine), который широко используется в экосистеме Microsoft. Мы неоднократно сталкивались с тем, что существующие инструменты для работы с этим форматом имеют ряд ограничений и не всегда корректно обрабатывают реальные данные. В результате возникла необходимость исправлять существующие решения и разрабатывать собственные средства извлечения данных из подобных файлов.

Одна из основных целей статьи — описать общий алгоритм парсинга БД ESE и подсветить важные для разработки и отладки собственного парсера нюансы. Сразу отмечу, что в данной статье будут описаны лишь те детали реализации, которые могут быть важны для корректного получения данных из файла БД, но не для полного дублирования функций движка.

Читать далее

Подробнее

Читайте также

В России создали автоматическую подачу сеянцев для лесопосадки
18.06.2026 09:50:00 | ferra.ru

Отборочный на стажировку в Т-банк: опыт наших подписчиков
18.06.2026 09:46:42 | Хабр

Как с нас пытались взыскать 5 000 000 рублей за детские трусы
18.06.2026 09:46:37 | Хабр

Как вывести новый китайский бренд на российский рынок?
18.06.2026 09:44:53 | it-world

DCD: доменно-ориентированная архитектура для построения RAG-систем
18.06.2026 09:42:21 | Хабр

Директор пригрозил бросить компанию, чтобы не платить. Это не работает
18.06.2026 09:41:45 | Хабр

Дискретные бризеры — математические чудики
18.06.2026 09:36:42 | Хабр

Одинаковый SLA, разное качество поддержки: что на самом деле важно в сопровождении 1С: РКЛ
18.06.2026 09:32:04 | Хабр

Anthropic заблокировали Fable 5 через три дня после релиза, а SpaceX купили Cursor
18.06.2026 09:19:10 | Хабр

Труд как коммодитис. Комодитизация труда. Информация и искусство как commodité
18.06.2026 09:16:00 | Хабр

Линеаризация. Увеличиваем мощность А/Б тестов с метрикой отношения
18.06.2026 09:00:16 | Хабр

Лучшие связки CPU и GPU для игрового ПК в 2026 году: от 1080p до 4K
18.06.2026 08:55:09 | Хабр

Я обнаружил крупномасштабное распространение вирусов в GitHub
18.06.2026 08:48:15 | Хабр

Microsoft выпустила планшет и ноутбуки Surface на процессорах Snapdragon X2
18.06.2026 08:43:49 | ferra.ru

Как я впервые в Google Play публиковался
18.06.2026 08:42:08 | Хабр

Проблема вместо идеи: с чего начинается продукт, который будут покупать
18.06.2026 08:34:57 | Хабр

День 1576: в законопроект о крипторынке добавили статью о праве правительства устанавливать «особый режим обращения цифровых валют» в ответ на санкции
18.06.2026 08:33:06 | vc.ru

Как стать SRE-инженером и сколько можно зарабатывать
18.06.2026 08:28:04 | Хабр

Как сгенерировать видео с полётом квадрокоптера в Seedance 2.0
18.06.2026 08:27:01 | Хабр

Компиляция yolov8n в формат HEF для Hailo-8L на Raspberry Pi 5
18.06.2026 08:20:47 | Хабр

ChatGPT теперь требует селфи с паспортом: как OpenAI и Anthropic внедряют KYC и убивают анонимность в ИИ
18.06.2026 08:15:15 | Хабр

Обзор решений двухфакторной аутентификации на 2026 год
18.06.2026 08:14:41 | Хабр

Сказ о том, как нейросеть занялась reward hacking прямо у меня на кухне
18.06.2026 08:00:23 | Хабр

AI-ассистент поддержки: Mindbox навели порядок в базе знаний и генерируют ее с помощью нейросети
18.06.2026 08:00:20 | Хабр

КД по ГОСТ за один клик
18.06.2026 07:57:55 | Хабр

Я собрал свой мессенджер по вечерам после работы
18.06.2026 07:54:15 | Хабр

Влияние IoT, IIoT и AIoT технологиий на процесс управления
18.06.2026 07:54:04 | Хабр

Cursor: как стартап без патентов дорос до сделки со SpaceX на 60 млрд долларов?
18.06.2026 07:51:19 | Хабр

Летний спад и летний пик: как извлечь максимум
18.06.2026 07:49:53 | Хабр

Пишем кодинг‑агента на Swift с нуля: неочевидные сложности очевидной идеи
18.06.2026 07:48:08 | Хабр

Если клиент не идёт в больничку — телефонный бот для телемедицины
18.06.2026 07:46:05 | Хабр

Как я перешёл с React на Angular и не пожалел
18.06.2026 07:46:04 | Хабр

Как мы научились видеть иерархию корутин в Android‑приложении: Coroutine Tracer в библиотеке Demeter
18.06.2026 07:00:49 | Хабр

Сломанный кэш выглядит как рабочий: prompt caching для тех, кто строит LLM-агентов
18.06.2026 07:00:21 | Хабр

Когда нашим дорогим инженерам сильно надоело 5 раз проверять документацию за подрядчиками
18.06.2026 07:00:18 | Хабр

Смотреть все

НОВОСТИ

Стало известно, на каких машинах сконцентрируется марка Volga
24.06.2026 17:40:00 | За рулем

Профессор Саква: Украинский конфликт - это прокси-война между НАТО и Россией
23.06.2026 14:19:00 | Российская Газета

Лавров: Украина - единственная страна, где есть запрет на язык
23.06.2026 14:15:00 | Российская Газета

В Минфине сообщили об обсуждении с маркетплейсами токенизации товаров на складах
23.06.2026 14:14:43 | ТАСС

Реваншизм в Европе и ответ на угрозы в адрес Минска. Заявления Лаврова
23.06.2026 14:14:25 | ТАСС

«Не волноваться и не беспокоиться»: Лукашенко успокоил жителей Гомельщины на фоне угроз Зеленского
23.06.2026 14:14:24 | Life.ru

Оман и Иран создадут группу для обсуждения управления судоходством в Ормузском проливе
23.06.2026 14:13:10 | ТАСС

Россиянам раскрыли эффективность присадок для топлива в таблетках и баллонах
23.06.2026 14:13:09 | Lenta.ru

Более 700 материалов и 8 спецкоров. История корпункта ТАСС на МКС
23.06.2026 14:13:03 | ТАСС

"Зеленые" предложили давать эковолонтерам дополнительные три дня к отпуску
23.06.2026 14:13:01 | ТАСС

В Польше заявили, что не будут платить за строительство дорог на Украине
23.06.2026 14:12:49 | ТАСС

Россиянин хотел вывезти из страны стратегически важные товары
23.06.2026 14:12:24 | Lenta.ru

Минфин предложил изменить расчет срока владения жильем при изъятии для выдачи нового
23.06.2026 14:11:49 | ТАСС

«Решительно бороться»: Путин выступил перед выпускниками силовых вузов с важным наказом
23.06.2026 14:11:24 | Life.ru

Подполковник заявил о вогнанной в паралич Украине из-за нефтебазы в Запорожье
23.06.2026 14:10:56 | Lenta.ru

В Крыму хотят увеличить провоз топлива через Крымский мост до 200 л на машину
23.06.2026 14:10:42 | ТАСС

Лавров объяснил послам значение упомянутой Путиным фразы "работайте, братья"
23.06.2026 14:10:33 | ТАСС

Мобилизованные солдаты ВСУ в Красном Лимане боятся сдаваться из-за угроз командования
23.06.2026 14:10:04 | ТАСС

Лавров заявил о готовности возобновить переговоры по Украине в любой момент
23.06.2026 14:09:22 | Life.ru

Энергодар начали подключать к электроснабжению после полного обесточивания
23.06.2026 14:09:20 | ТАСС

Лавров указал на "свободу слова" в Европе после отказа публиковать его статью
23.06.2026 14:09:20 | ТАСС

Число раненных при ударе ВСУ по автобусу в Горловке 22 июня увеличилось до 18
23.06.2026 14:08:25 | ТАСС

На Украине высказались о возможности угрозы со стороны Белоруссии
23.06.2026 14:08:10 | Lenta.ru

Внешность Вали Карнавал на новом видео описали фразой «от оригинала ничего не осталось»
23.06.2026 14:08:08 | Lenta.ru

Генсек СНГ оценил угрозы Зеленского в адрес Белоруссии
23.06.2026 14:08:05 | Lenta.ru

Названо преимущество новой СВЧ
23.06.2026 14:07:46 | Lenta.ru

Вместо Зеленского в Гданьск приедет Свириденко на фоне конфликта Польши и Украины
23.06.2026 14:07:30 | ТАСС

Бык сбежал от мясника и покалечил трех человек
23.06.2026 14:07:16 | Lenta.ru

В Чехии водителю грозит три года тюрьмы за символику Z
23.06.2026 14:07:00 | Российская Газета

Только место занимают: «Роскачество» назвало продукты, которые нельзя держать в холодильнике
23.06.2026 14:06:45 | Life.ru

Только место занимают: Роскачество назвало продукты, которые нельзя держать в холодильнике
23.06.2026 14:06:45 | Life.ru

Еврокомиссар Кубилюс: ЕС истратит €7 трлн на оружие, чтобы обогнать Россию
23.06.2026 14:06:34 | ТАСС

Ослабление рубля к доллару объяснили
23.06.2026 14:06:30 | Lenta.ru

В Чечне стартовали кампании по выборам главы и парламента региона
23.06.2026 14:05:52 | ТАСС

Путин дал совет выпускникам военных вузов
23.06.2026 14:05:40 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro