How to Clean Up Your Broken Symlinks: The Good Way and the Better Way

#linux #symlink

https://www.howtogeek.com/how-to-clean-up-your-broken-symlinks/

Explainer: inodes and inode numbers

https://web.brid.gy/r/https://eclecticlight.co/2025/10/04/explainer-inodes-and-inode-numbers/

#blue_team #WindowsDefender #symlink

- Право `Create symbolic links (SeCreateSymbolicLinkPrivilege)` должно быть только у администраторов. На рабочих станциях выключите `Developer Mode`, чтобы юзеры без прав администратора не могли создавать symlink-и.

- Включите `Tamper Protection` в `Microsoft Defender` и `WDAC/AppLocker`, разрешайте запуск только из подписанных, ожидаемых путей, а не из «любой» папки.

- Проверьте `ACL` каталога платформы `Defender` — право записи должны иметь только `SYSTEM/TrustedInstaller`.

Самый надежный способ обезвредить этот приём — лишить злоумышленника права создавать ссылки, а также детектировать любые попытки трогать каталоги платформы Defender.

#red_team #WindowsDefender #symlink

- После выполнения команда создает объект в `C:\ProgramData\Microsoft\Windows Defender\Platform\` с именем `5.18.25070.5-0`. Но этот «каталог» на самом деле является указателем, при обращении к которому система перенаправляет все операции в `C:\TMP\AV`.

- Defender при старте выбирает «самую свежую» подпапку своей платформы по строке версии. И когда он попытается скачать и распаковать обновления, записать служебные файлы или обратиться к своим конфигурациям, операции будут выполняться не в его оригинальном каталоге, а в подложном.

За счет того, что Defender «верит» системному пути, подмена сохраняется до тех пор, пока ссылка не будет обнаружена.

Подробности (https://www.zerosalarium.com/2025/09/Break-Protective-Shell-Windows-Defender-Folder-Redirect-Technique-Symlink.html).

#red_team #WindowsDefender #symlink

- Создаем директорию, которую полностью контролируем, например: `C:\TMP\AV`. В нее в дальнейшем будет перенаправлен антивирус. Здесь можно размещать любые файлы — фейковые обновления, бинарники, заглушки, DLL-библиотеки и не только.

- Создаем `symlink` с защищенного пути на контролируемую директорию. Для Defender она будет выглядеть как «правильное» расположение.

То есть адрес легитимной рабочей папки оформляется по принципу: ProgramData\Microsoft\Windows Defender\Platform\[Version-Number]. Нужно создать контролируемую директорию с папкой, название которой соответствует последней версии Defender (это важно). Вот пример консольной команды — `mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"`.

Обманываем Windows Defender при помощи symlink

#red_team #WindowsDefender #symlink

Windows разрешает следование по символическим ссылкам, а сам Defender автоматически использует содержимое папки, независимо от того, реальная это папка или ссылка, если название соответствует последней версии программы.

Для работы нам нужен профиль с правами, позволяющими создавать symlink.

The lack of #symlink timestamp handling in #RustLang std is a bit sad. 😢

"14.000 Fortinet-Firewalls kompromitiert: Angreifer nisten sich ein... #CyberSecurity #Hacking #Fortinet #Firewall #Symlink www.heise.de/news/14-000-...

14.000 Fortinet-Firewalls komp...

💡 Falla di sicurezza in WinRAR bypassa il MotW di Windows

https://gomoot.com/falla-di-sicurezza-in-winrar-bypassa-il-motw-di-windows/

#blog #bug #cve #falla #news #picks #sicurezza #symlink #tech #tecnologia #winrar #zip

#TIL about the `namei` tool which is sort of like #traceroute but for filesystem traversal.

This is especially useful on #nixos where you're frequently dealing with stuff that is multiple levels of symlinks deep.

It's probably already on your system because it's part of #utillinux; go try it out:

namei `which ls`

#namei #symlink #linux

Git for Windowsでシンボリックリンクを扱えるようにする #Symlink - Qiita https://qiita.com/ucho/items/c5ea0beb8acf2f1e4772

「Windows で特権なしでシンボリックリンク張りたいなぁ」「Git Bash の ln コマンドをコピーじゃなくてシンボリックリンクにしたいなぁ」と考えていたのでたすかった

#SymLink: In this video, Jon Myer asks the AppDev Field Day 2 delegates for their reaction to Codiac's presentation. #_JonMyer #CodiacIO #ADFD2 #Video #JABenedicic #MikeStanley #Mistwire #GuyCurriersFeed
https://www.youtube.com/v/Nmwm30rtGjs

#SymLink: Codiac's updated container management platform enhances SDLC collaboration by simplifying Kubernetes complexities and improving DevOps integration. #WriterOfTech1 #CodiacIO #ADFD2 #PlatformEngineering
https://platformengineering.com/social-x/codiac-refreshes-container-management-across-sdlc-some-key-features-on-the-platform/

#SymLink: Learn how to install Nzyme on a WLANPi to monitor and enhance Wi-Fi security, detecting threats and malicious devices efficiently.
https://wifivitae.com/2024/12/06/howto-nzyme/

#SymLink: SC24 saw record attendance and spotlighted AI's growing influence in HPC, with a focus on sustainability and the debut of El Capitan as the fastest supercomputer.
https://blog.glennklockwood.com/2024/12/sc24-recap.html

#SymLink: Itential's network automation platform enables structured workflow creation with pre-checks, execution, verification, and real-time validations. #SPuluka #Itential #NFD36 #LinkedIn
https://www.linkedin.com/pulse/demo-creating-network-automation-workflow-itential-steve-puluka-encbe/

#SymLink: Kubernetes is viewed as both invaluable and overly complex, fitting for large-scale operations but often excessive for smaller projects.
https://discoposse.com/2024/11/27/kubernetes-a-love-letter-to-complexity-or-a-hatred-for-cloud-chaos/

#SymLink: Concerns rise over Microsoft's Azure security as restricted logging features in pricier plans may compromise data protection.
https://yobyot.com/cloud/will-microsoft-make-customers-more-secure/2024/11/29/

#SymLink: Platform engineering is becoming the new focus in tech, overtaking traditional DevOps by prioritizing operational efficiencies.
https://pivotnine.com/blog/platform-engineering-is-the-new-devops/

#SymLink: The blog post explores iOS 18's new security feature that restarts the device after inactivity to safeguard against threats.
https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html