Заглядываем внутрь ESE: от B+ деревьев до артефактов Windows
Меня зовут Григорий Гришаев. Я работаю младшим специалистом в департаменте комплексного реагирования на киберугрозы в экспертном центре безопасности Positive Technologies (PT ESC) и занимаюсь разработкой парсеров различных файловых артефактов.
В ходе расследований нашей команде регулярно приходится работать с артефактами, собранными с хостов под управлением Windows. Среди них часто встречаются базы данных в формате ESE (Extensible Storage Engine), который широко используется в экосистеме Microsoft. Мы неоднократно сталкивались с тем, что существующие инструменты для работы с этим форматом имеют ряд ограничений и не всегда корректно обрабатывают реальные данные. В результате возникла необходимость исправлять существующие решения и разрабатывать собственные средства извлечения данных из подобных файлов.
Одна из основных целей статьи — описать общий алгоритм парсинга БД ESE и подсветить важные для разработки и отладки собственного парсера нюансы. Сразу отмечу, что в данной статье будут описаны лишь те детали реализации, которые могут быть важны для корректного получения данных из файла БД, но не для полного дублирования функций движка.
Читать далееИсточник: Хабрахабр
Похожие новости
- Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes
- MediaGuru: Кейс: Как мы увеличили бронирования в 3 раза за один день с помощью Яндекс.Директ
- Каждый шестой рекламодатель малого бизнеса увеличил рекламный бюджет в пять раз за год
- 60% российских музеев используют технологии, но треть считает цифровизацию переоцененной
- Яндекс Директ запустил управление рекламой на базе ИИ в мессенджерах
- MARGO & Lil Pump взяли бронзу на премии НПБК за эффективную промо-кампанию трека Kukareku
- Креативная премия G8 Creative Awards 2026 открыла приём работ
- Как не получить бан в Claude: возможные причины и решения
- [Перевод] Модели угроз пакетных менеджеров
- Spark_news: Почти половина работающих россиян регулярно сталкиваются со стрессом на работе