Banner 1

Microsoft Cofee

0 comentarios
Hace tiempo atras se habla de esta herramienta donde microsoft realizo una preparacion informatica a los encargados de llevar la autoridad en este caso la informatica.

Se sabia que cofee era solo liberado para la autoridad y no para uso comercial, bueno hoy encontre una sorpresa , ya estaba para descargar :D y ser probado.

Desde entonces me tome la tarea de buscar y si encontre muchos links algunos en torrent , otros rapid bloqueados xd(tipico) y entre otros.

Voy a compartir con uds donde lleve a cabo la busqueda mas satisfactoria , no lo he descargado ni probado por falta de tiempo pero espero que uds lo prueben y me cuenten, si estos links que les paso para la descarga no sirven por favor avisarme yo coloco mas.

http://rapidshare.com/files/305015512/Cafe_By_Blade.rar

Descargado de este link y probado , solo hay un problema y es que se limita la descarga es solo cuestion de tiempo para descargarlo.

mirrors
http://rapidshare.com/files/304622817/0RdZagBL.zip
http://rapidshare.com/files/304721661/COFEE_INSTALLED.rar
http://www.zshare.net/download/68241715f56f34a6/
http://www.easy-share.com/1908391278/COFEE%20INSTALLED.rar
http://www.uploadmirrors.com/redirect/1BBDTWGJ/14 http://megaupload.com/?d=XGKRPDHI

Espero les sirva

FUENTES:

http://sharpiton.blogspot.com/2009/11/cofee-computer-online-forensic-evidence.html

http://www.intercambiowarez.org/software/microsoft-invita-un-cofee-para-todos-los-policias-informaticos-alerta

http://www.taringa.net/posts/downloads/3883596/COFEE-Programa-usado-por-las-agencias-forenses.html

http://www.taringa.net/posts/downloads/3886221/Microsoft-Cofee,-como-obtener-los-datos-de-windows-xp-usb.htmlç

http://www.rapidshareindex.com/Microsoft-Computer-Online-Forensic-Evidence-Extractor-v1-1-2-A76-_363640.html

http://www.megaleecher.net/taxonomy/term/8305

http://www.intercambiowarez.org/software/microsoft-invita-un-cofee-para-todos-los-policias-informaticos-alerta

saludos roboticos

chiste o realidad colombiana?

0 comentarios
esto me llego al correo y quiero compartirlo:

Se encuentran Alvaro Uribe, George Bush y la reina de Inglaterra en el infierno...(motivos no faltan...!!!) Bush le contaba a la Reina de Inglaterra que había un teléfono rojo en el infierno y que iba a hablar con el diablo para pedirle autorización para usarlo.

Rápidamente, fue y le pidió al diablo permiso para hacer una llamada a los EE.UU., para saber como quedaba el país después de su partida.
El diablo le concedió la llamada y habló durante 2 minutos.
Al colgar, el diablo le dijo que el costo de la llamada eran 3 millones de dólares, y Bush le pagó.

Al enterarse de esto, la reina de Inglaterra quiso hacer lo mismo y llamó a Inglaterra durante 5 minutos. El diablo le paso una cuenta de 10 millones de libras que la vieja pago sin chistar .

Alvaro Uribe también sintió ganas de llamar a Colombia para ver como había dejado el país, y habló durante 3 horas. (nunca puede hablar menos)
Cuando colgó, el diablo le dijo que eran 50 centavos.

Uribe se quedo atónito, pues había visto el costo de las llamadas de los demás,
así que le preguntó por que era tan barato llamar a Colombia....... y el diablo le respondió:
'Mirá, viejo.... con la cantidad de desempleados, los jubilados muertos de hambre, la famosa "seguridad democrática", "los falsos positivos", la situación de los hospitales públicos, los maestros mal pagados, los
desplazados en los semáforos, la violencia familiar, la desnutrición infantil, la falta de justicia, el aumento del costo de vida, la inseguridad ciudadana, los secuestros, violaciones, asesinatos, la parapolítica, la mala calidad de la enseñanza, la corrupción del gobierno, los millones de narcodólares para pagar el caos, el clientelismo político, las mentiras de RCN y otros, la banda de politiqueros sueltos que has comprado, los militares asesinos, la impunidad rampante, los narcos al poder, el DAS, tus hijos dejando sin trabajo a los recicladores!! etc. etc. etc. Ese país se ha convertido en un infierno!.
y de 'infierno' a 'infierno', la llamada es
' local'...

saludos roboticos

forense en windows live msn

2 comentarios
Bueno les dejo un paper muy interezante sobre este tema, este paper va ser una introduccion para los siguientes laboratorios que vamos a realizar sobre "forense en p2p y forense en mensageros" si alguien quiere colaborar para la construccion de los laboratorios es bienvenido.

Link online:

http://www.scribd.com/doc/12926281/ARTICLE-Forensic-Artefacts-Left-by-Windows-Live-Messenger-80

saludos roboticos

He perdido mi usb!

1 comentarios
Hoy les traigo un muy buen post realizado por nuestro amigo ECrawler , saludos

--------------------------------------------------------------------------------------------------

Cada vez se extiende más el uso de las memòrias usb, los gerentes las acarrean encima con información muy confidencial.

Que pasa si se pierde? cualquiera puede tener acceso a esa información, ya que no suelen tener el cuidado de encriptarlo o protegerlo.

Esta semana le ha pasado a un amigo, que su gerente ha perdido sus dos memòrias usb, en el golf.. o quien sabe.. y el gran problema, és que contenian resumenes contables, planes de marketing, datos de clientes...

A parte de poder tener problemas con la LOPD alguien puede hacer mal uso de esa información.

ENCRIPTACIÓN DE DISPOSITIVOS USB

La opción más sencilla, pero no al alcance de todos, es comprar memorias usb seguras, como la Kingston DataTraveler Blackbox .

En tiempo de crisis, quizá este sea el gasto de menor prioridad en la empresa, con lo cual vayamos a lo free.

Hay muchos programas para proteger carpetas o unidades, como Steganos Safe One, pero creo que nos puede servir el mundialmente conocido TrueCrypt .

ENCRIPTANDO CON TRUECRYPT
Os descargáis el programa y lo ejecutáis, pero en lugar de instalarlo seleccionad extract y lo extraemos en el usb a encriptar.



Seguidamente vais al dispositivo y iniciáis el programa Truecrypt y seleccionamos Create Volume



Podríamos encriptar toda la unidad, pero queremos que sea un proceso ágil y no tener que instalar el Truecrypt en cada pc que usemos el dispositivo, por eso crearemos una unidad encriptada del tamaño que deseéis, el resto será público.





Seguidamente nos pedirá el archivo sobre el que montar el disco duro virtual. Seleccionais el nombre que le querais asignar, dentro del usb.



Seguidamente os pedirá las opciones de encriptación, que podéis dejar las que lleva por defecto y darle a next.

Ahora debéis establecer el tamaño que tendrá el disco duro virtual encriptado. Eso depende de vuestra necesidad.. si el USB és de 4 gb podéis asignar 3 gb encriptados y 1 sin... pero a vuestra elección.

Bien, ahora es el momento de poner la contraseña de encriptado, podéis poner lo que queráis. Como más larga y complicada sea, más dificil de romper.

Ahora viene el paso de formatear el disco virtual, podéis dejar las opciones de filesystem y Cluster por defecto.



Una vez formateado ya podemos darle a Exit y ya tendremos el dispositivo preparado

TRABAJAR CON LA UNIDAD ENCRIPTADA DES DE CUALQUIER PC

Cuando queráis usar la información confidencial, almacenada en la unidad virtual encriptada, solo tendréis que iniciar el Truecrypt (que antes habeis extraido en la unidad).

En la pantalla principal seleccionamos la unidad sobre la que montarla, en nuestro caso O:. Le damos a select file y seleccionamos el archivo que contiene el disco virtual (que hemos creado anteriormente)
Y le damos a Mount.




Después de pedirnos nuestra contraseña, se nos abrirá la unidad O: y podremos trabajar con ella con tranquilidad.










No se les olvide visitar la fuente :D

FUENTE:http://evidenciasdigitales.blogspot.com/2009/10/he-perdido-mi-usb.html

BUSCANDO NÚMEROS DE CUENTA EN DISCOS DUROS

0 comentarios
Este pareser ser uno de los ultimos post de eduardo, esperemos que no sea asi.

-------------------------------------------------------------------------------------------------

Hoy vamos a hablar de cómo buscar lo siguiente en un disco duro robado:

- passwords
- números de cuenta
- números de tarjeta de crédito
- información personal (direcciones, números de teléfono, ...)

En general, buscaremos información de la que podamos sacar un cierto beneficio económico. No nos interesa para nada coleccionar documentos de word, ni mails por los que no nos darían un miserable céntimo, ni tampoco los videos porno que tenga el tío en su PC, por muy entretenido que resulte.

Primero, desde linux, podemos extraer todos los strings del disco duro haciendo esto: strings /dev/sda > strings.txt, y ahora simplemente vamos buscando lo que nos interesa. Para ello, contamos con la ayuda de egrep que, dada una expresión regular, nos buscará patrones coincidentes.

Por ejemplo, podemos buscar números de teléfono así:


egrep "\b[0-9]{3}.[0-9]{2}.[0-9]{2}.[0-9]{2}\b" strings.txt


Que nos devolverá todos los números del tipo 976.66.88.11, con un espacio antes y después. A partir de esta expresión regular, podemos buscar cosas similares, por ejemplo separando con guiones o bien agrupando los números de otra forma. Sirva de ejemplo:


egrep "\b9[0-9]{2}[-|.][0-9]{2}[-|.][0-9]{2}[-|.][0-9]{2}\b" strings.txt


Que buscaría números separados por un guión o por un punto y agrupados como antes. Además, dado que todos (creo) empiezan por 9, le he metido uno como primer dígito, para optimizar la búsqueda. Otra posible forma de buscar sería mirar los strings tfno y teléfono.

Para buscar direcciones de mail, lo más sencillo es intentar encontrar los strings hotmail.com y gmail.com, que son los más probables. A partir de ahí, encontraremos todos los demás.

Y para passwords, pues más de lo mismo: buscamos passwd, password, contraseña y otros strings que se nos ocurran.

Ahora vamos a algo más interesante: intentaremos localizar números de cuenta y de tarjetas de crédito.

Los patrones son muy fáciles de encontrar. En el caso de las visas, bastaría con modificar el algoritmo que en su día vimos en este artículo

Para los números de cuenta, hay que tener en cuenta que tienen el siguiente formato:

XXXX-OOOO-DD-CCCCCCCCCC

Donde:

XXXX: entidad de la cuenta. Para entidades de España tenéis un listado completo aquí.

OOOO: oficina de la cuenta
DD: dígitos de control
CCCCCCCCCC: número de cuenta.

El número de cuenta se suele descomponer a su vez en TT-CCCCCC-DD, que quiere decir TIPO + CUENTA + DIGITOS-DE-CONTROL.

Los dígitos de control se pueden calcular dado el resto de datos y, para que nadie se queje, he programado una función en php que hace esta validación para nosotros. No es muy bonita ni muy rápida, pero funciona:

function validarCCC($entidad, $oficina, $dig1, $dig2, $tipo, $cta, $dig3){

$dc1 = calcularDC1($entidad, $oficina);
if ($dc1 != $dig1) return ERROR_CCC_NOK;

$dc2 = calcularDC2($tipo, $cta, $dig3);
if ($dc2 != $dig2) return ERROR_CCC_NOK;
}


//calculamos el primero de los dígitos de control

function calcularDC1($entidad, $oficina)
{

$d=0;

$d4=$entidad%10;
$d3=($entidad/10)%10;
$d2=($entidad/100)%10;
$d1=($entidad/1000)%10;
$d += $d1*4 + $d2*8 + $d3*5 + $d4*10;

$d4=$oficina%10;
$d3=($oficina/10)%10;
$d2=($oficina/100)%10;
$d1=($oficina/1000)%10;
$d+= $d1*9 + $d2*7 + $d3*3 + $d4*6;

$d%=11;
if ($d==0) return $d;

$d = 11-$d;

if ($d==10) return 1;
else return $d;
}


// calculamos el segundo de los dígitos de control

function calcularDC2($tipo, $cta, $dig3)
{

$d=0;
$d10=$dig3%10;
$d9=($dig3/10)%10;
$d8=$cta%10;
$d7=($cta/10)%10;
$d6=($cta/100)%10;
$d5=($cta/1000)%10;
$d4=($cta/10000)%10;
$d3=($cta/100000)%10;
$d2=($tipo%10);
$d1=($tipo/10)%10;

$d= $d1*1 + $d2*2 +
$d3*4+ $d4*8+ $d5*5+ $d6*10+ $d7*9+ $d8*7 +
$d9*3 + $d10*6;

$d%=11;
if ($d==0) return $d;
$d = 11-$d;

if ($d==10) return 1;
else return $d;

}


Como veis, con la ayuda de las expresiones regulares y de unas llamaditas a funciones de validación, podemos extraer información muy interesante de un disco duro.

Y quien nunca haya guardado números de visa o passwords en un txt que tire la primera piedra ...

Saludos y hasta pronto,

FUENTE Y AGRADECIMIENTOS:

http://hacking-avanzado.blogspot.com/2009/10/computer-forensics-buscando-numeros-de.html

Ojala siga el blog :D

EJECUTANDO CÓDIGO PHP DESDE UN ARCHIVO GIF

0 comentarios
A veces sucede, que en determinados sitios nos permiten subir imágenes pero no se nos permite subir archivos php, porque eso permitiría meterles una shell.

Pues bien, dependiendo de cómo manejen el archivo de la imagen, es posible que lleguen a ejecutar nuestro código ...

El procedimiento vale para, en principio, cualquier tipo de archivo, sea .gif, .jpeg, ...

(1) bajamos cualquier imagen
(2) la abrimos con un editor, por ejemplo notepad
(3) al final del archivo, pegamos el código php separado por un ; (ver imagen)



Suponiendo que el código php incluya imágenes usando include(), require(), include_once(), ... nuestro código será ejecutado y podremos acceder al archivo backdoor.php.

Otra cosa interesante a tener en cuenta es que la imagen se previsualiza correctamente, con lo que un usuario normal jamás sospechará nada.

En todo caso, merece la pena intentarlo, aunque normalmente no vaya a funcionar.

Saludos y hasta pronto.


Referencias (22/10/09):

milw0rm-video1.
milw0rm-video2.

FUENTE:http://hacking-avanzado.blogspot.com/2009/10/pen-testing-ejecutando-codigo-php-desde.html

Registro de Windows, svchost y malware

0 comentarios
Hace tiempo que no miraba mis rss, hoy encontre temas muy buenos y bien trabajados y los comparire con ustedes.

--------------------------------------------------------------------------------------------------

Toda esta historia comenzó hace un par de días, en una de las visitas rutinarias de mantenimiento a empresas que realizo como técnico informático. Configurando la copia de seguridad para el fichero pst, utilizado como almacén del correo electrónico por MS Outlook, me disponía a modificar el comportamiento predeterminado del explorador de Windows para que me mostrase los ficheros ocultos, y hete aquí que saltó la alarma.

A pesar de haber marcado el botón de radio correspondiente los ficheros ocultos no aparecían, y al regresar a comprobar la configuración el botón seguía como si nada hubiera pasado, es decir, aparecía marcado "No mostrar archivos y carpetas ocultos". Este comportamiento suele estar asociado a la acción de malware, constituyendo una forma burda de ocultación. La configuración de estos parámetros se realiza a nivel del registro de Windows, concretamente en la siguiente clave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

En su interior existe una subclave, SHOWALL, cuyo valor CheckedValue debería ser de tipo DWORD, pero que en este caso aparecía como alfanumérico. Así que la solución es simple, eliminar el valor anterior y crear uno nuevo, de tipo DWORD e igual a 1, pero claro, asegurándonos antes que el malware no esté en ejecución, sino volverá a realizar la modificación en cuanto detecte su corrección. Sabiendo lo anterior descargo y lanzo gmer, comprobando en la pestaña Processes que no haya ningún proceso oculto (aparecería resaltado en rojo) o que me resulte extraño.

Una vez confirmado modifico el registro quedando resuelto ese punto, máxime cuando ya me tocó eliminar manualmente el dichoso virus denominado genéricamente como INF/Autorun; pero debí olvidar solucionar el estropicio del registro. Lo que si no olvidé fué aplicar todas las actualizaciones de Windows XP disponibles hasta esa fecha, asegurarme que no había ningún elemento malicioso más e instalar, previo registro, el antivirus NOD32.

Por si las moscas lanzo nuevamente gmer y me encuentro otra sorpresa, en la pestaña Rootkit/Malware aparecen 4 servicios ocultos:


Reviso el log de NOD32 y advierto que hace unos días se detectó y eliminó la dll maliciosa cargada por los servicios anteriores y que se correspondía con una variante del infame Conficker:


Así que el virus fué eliminado pero no así los servicios creados para garantizar su ejecución, que son los que aparecen detectados por gmer. Elimino manualmente los servicios y confirmo nuevamente que el PC está limpio, al menos aparentemente. Como suelo hacer en estos casos recomiendo modificar todas las contraseñas utilizadas desde ese PC para acceder a cualquier servicio y que se planteen la posibilidad de reinstalar completamente el equipo, por si las moscas. Me dicen que lo pensarán y, finalizada la visita, me marcho tan contento.

Pero como soy de natural inquieto al llegar a casa me pongo a investigar sobre svchost y el porqué resulta idoneo como blanco de todo tipo de malware; éste es el resultado de mis pesquisas.

Los servicios en Windows

Se denomina así a todos aquellos procesos que pueden o no iniciarse de forma automática durante el arranque del equipo sin la necesidad de que sean lanzados de forma interactiva por un usuario, utilizando el API de Windows para interactuar con el sistema. El Service Control Manager (SCM), constituido por el proceso %SystemRoot%\system32\services.exe, sería el encargado de lanzar los servicios así configurados, accediendo para ello a la base de datos que mantiene en el registro de Windows, en concreto dentro de la clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

En su interior encontraremos subclaves para cada uno de los servicios que han sido registrados en el sistema mediante una llamada a la función CreateService, implementada en la dll Advapi32.dll. Como curiosidad, podemos utilizar el programa DLL Export Viewer de NirSoft para ver las funciones exportadas por una dll concreta.

Dentro de cada subclave, y por consiguiente para cada servicio, se indican valores que se corresponden con las características particulares para ese servicio. Así, por ejemplo, los drivers incluyen un valor Group que permite agruparlos en base a sus funciones. Un ejemplo para el controlador de la unidad de disquete, fdc:
ErrorControl REG_DWORD     0x00000001
Group REG_SZ System Bus Extender
Start REG_DWORD 0x00000003
Tag REG_DWORD 0x00000005
Type REG_DWORD 0x00000001
SetupDone REG_DWORD 0x00000001
DisplayName REG_SZ Controlador de la unidad de disquete
ImagePath REG_EXPAND_SZ system32\DRIVERS\fdc.sys

Ahora un ejemplo para un servicio asociado a un ejecutable concreto, en este caso para el adaptador de rendimiento de WMI:
Type             REG_DWORD     0x00000010
Start REG_DWORD 0x00000003
ErrorControl REG_DWORD 0x00000001
ImagePath REG_EXPAND_SZ C:\WINDOWS\system32\wbem\wmiapsrv.exe
DisplayName REG_SZ Adaptador de rendimiento de WMI
DependOnService REG_MULTI_SZ RPCSS
DependOnGroup REG_MULTI_SZ
ObjectName REG_SZ LocalSystem
Description REG_SZ Proporciona información de la biblioteca
de rendimiento desde los proveedores HiPerf
de WMI.

El parámetro Start determina el tipo de inicio para el servicio, y los valores posibles son:
SERVICE_BOOT_START(0)
SERVICE_SYSTEM_START(1)
SERVICE_AUTO_START(2)
SERVICE_DEMAND_START(3)
SERVICE_DISABLED(4)

Los números indicados entre paréntesis están en formato decimal, por lo que será preciso convertir el valor Start de la clave del registro para identificar el tipo de arranque del servicio. El primer tipo de inicio provoca la carga del driver en memoria durante el arranque; el segundo provoca la carga del driver durante la inicialización del kernel, justo después de que se hayan cargado los anteriores. Los dos siguientes tipos de inicio ya son gestionados por el SCM, siendo automático el primero y bajo demanda el segundo. El último indica que el servicio está deshabilitado.

El parámetro Type será el que permita distinguir el tipo de servicio del que se trata, valga la redundancia, y por lo tanto será un valor presente para todos ellos. Los diferentes tipos existentes y vigentes en la actualidad son:
SERVICE_KERNEL_DRIVER(1)
SERVICE_FILE_SYSTEM_DRIVER(2)
SERVICE_RECOGNIZER_DRIVER(8)
SERVICE_WIN32_OWN_PROCESS(16)
SERVICE_WIN32_SHARE_PROCESS(32)

Como antes, los números indicados entre paréntesis están en formato decimal. Los tres primeros que aparecen en la lista anterior se corresponderían con drivers de dispositivo, quedando los 2 últimos para los servicios puros y, por lo tanto gestionados por el SCM, siendo ambos valores mútuamente excluyentes. Para los servicios lanzados dentro del proceso svchost el tipo sería SERVICE_WIN32_SHARE_PROCESS.

SvcHost

La mayoría de servicios se ejecutan dentro de un proceso propio, pero otros comparten un mismo proceso, con el consecuente ahorro de recursos. El proceso genérico conocido como Service Host (SvcHost) contiene múltiples servicios, pudiéndose ejecutar múltiples instancias de este proceso, y ésta es la razón de que aparezca repetido dentro de la lista mostrada por el Administrador de Tareas. En concreto, y tal como menciona Harlan Carvey, se ejecuta dos o más veces en Windows 2000, 5 o más veces en Windows XP y 7 o más veces bajo Windows 2003.

Las diferentes instancias de svchost se corresponden con las diferentes agrupaciones de servicios, las cuales pueden consultarse en otra rama del registro existente a tal efecto:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Dentro de esta clave encontraremos múltiples valores correspondiendo cada uno de ellos a un grupo. El contenido de este valor, definido como una cadena REG_MULTI_SZ, contiene una lista con todos los servicios pertenecientes a dicho grupo. Las agrupaciones estándar para un sistema Windows XP son:
HTTPFilter
LocalService
NetworkService
netsvcs
DcomLaunch
rpcss
imgsvc
termsvcs

Y, como ejemplo, los servicios contenidos dentro del grupo LocalService serian:
Alerter
WebClient
LmHosts
RemoteRegistry
upnphost
SSDPSRV

Estos servicios se implementan como dlls e incluyen un valor ImagePath, igual para todos los miembros del grupo, con el comando svchost de inicialización:
HKLM\SYSTEM\CurrentControlSet\Services\Alerter

ImagePath: %SystemRoot%\system32\svchost.exe -k LocalService

y deberían incluir un valor ServiceDll dentro de una subclave Parameters:
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Parameters

ServiceDll: %SystemRoot%\system32\alrsvc.dll

Pero como una imagen vale más que mil palabras vamos a ver los servicios que se ejecutan dentro de un proceso svchost en un sistema Windows XP en ejecución. Primero utilizaremos el comando integrado tasklist:


El siguiente programa que vamos a utilizar es tlist.exe, disponible con las Microsoft Debugging Tools:


Por último el más completo de todos, y por lo tanto, el que más información nos vá a brindar, Process Explorer. Una vez ejecutado obtendremos en el panel superior el árbol de procesos ejecutándose en el sistema. Si seleccionamos cualquiera de las instancias de svchost, botón derecho Properties, obtendremos en la pestaña Image la línea de comandos utilizada para lanzar el proceso (valor ImagePath):


Por ultimo, en la pestaña Services, obtendremos los diferentes servicios que forman parte del grupo, asi como las dll que se corresponden con cada uno de ellos (valores ServiceDll):


Eliminando servicios ejecutados por svchost

Ahora ya conocemos más o menos el funcionamiento de los servicios ejecutados mediante SvcHost, como éstos se implementan mediante dlls y como corren bajo el mismo proceso, compartiendo, por ende, los mismos recursos accesibles desde cualquier elemento del grupo. Llega el momento de aprender a eliminarlos manualmente.

El primer paso será detener el servicio a eliminar siempre que el sistema objetivo se encuentre en ejecución. Una vez detenido accederemos al registro, y allí lo encontraremos dentro de la clave Services. Por ejemplo, para el caso que inició todos mis devaneos las rutas concretas serían:
HKLM\SYSTEM\CurrentControlSet\Services\gjmpdyvhn
HKLM\SYSTEM\CurrentControlSet\Services\jwowfer
HKLM\SYSTEM\CurrentControlSet\Services\prgcghjwh
HKLM\SYSTEM\CurrentControlSet\Services\ymmoljyli

Pero antes ubicaremos el grupo SvcHost al que pertenecen, indicado como ya sabemos como parámetro en el valor ImagePath de cada uno de ellos. En este caso, y habitualmente, el grupo que buscamos será netsvcs. Tambien será conveniente anotar la ruta de la dll que implementa el servicio para eliminarla manualmente en el caso de que no lo haya hecho ya nuestro antivirus; ya sabemos que dicho valor estará dentro de la subclave Parameters y como contenido del valor ServiceDll.

Llega el momento de eliminar las claves mencionadas, pero antes tendremos que modificar los permisos de cada una de ellas: botón derecho sobre la clave, Permisos, y allí agregaremos el grupo Todos asignándole Control total sobre la clave:


Una vez eliminadas las claves que cuelgan de Services iremos a los grupos definidos en SvcHost, en concreto al grupo netsvcs que es al que pertenecen, y allí eliminaremos las entradas para los anteriores servicios de la lista que compone el grupo. Ya casi lo tenemos, queda un último paso.

Algunos tipos determinados de malware tambien agregan entradas dentro de la siguiente clave del registro:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GJMPDYVHN
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JWOWFER
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PRGCGHJWH
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YMMOLJYLI

por lo que será preciso eliminarlas también, asignando antes los permisos adecuados para poder llevar a cabo el proceso.

Conclusión: ahora ya sabemos un sitio más donde podremos encontrar rastros de malware, y la forma en que éste se garantiza su ejecución automática en cada inicio del sistema; el ejemplo más conocido lo tenemos en el gusano Conficker.

Bibliografía

Windows Internals, Fifth Edition
Mark E. Rusinovich, David Solomon and Alex Ionescu
Microsoft Press

Enlaces relacionados

How Malware hides and is installed as a service on Windows NT/XP/2000/2003

How to determine what services are running under a SVCHOST.EXE process

Descripción de Svchost.exe en Windows 2000

Descripción de Svchost.exe en Windows XP Professional Edition

FUENTE Y AGRADECIMIENTOS:http://neosysforensics.blogspot.com/2009/11/registro-de-windows-svchost-y-malware.html

PenTest sobre aplicativos web- metodologia owasp(II de X)

0 comentarios
bueno hace tiempo empeze este hilo de laboratorios siguiendo la metodologia owasp, en el momento de empezar estaba en la version 2 , actualmente vamos a seguir con la version 3.

Esta seria de labs va enfatizado para los que inician en el tema de pentest sobre aplicativos web o bien para personas que empiezen en el mundo de la seguridad y el "hacking".

bueno espero seguir sacando un tiempo para terminar esta serie de labs y seguir con lo mas interezante, tambien seguir con los labs de forense y el curso.

Bueno les dejo los links donde fue posteado el lab.

http://foro.colombiaunderground.org/index.php/topic,5231.0.html

http://foro.latinohack.com/showthread.php?p=60425#post60425

espero les guste.

saludos roboticos
Powered by Bad Robot
Helped by Blackubay