encontrado via billytec.com
Ver todos los dispositivos USB que fueron conectados en Windows
Etiquetas:
Forense
0
comentarios
Como ya he comentado en anteriores post, los dispositivos USB de almacenamiento, son muy prácticos, pero puede resultar un problema
de seguridad, porque a través de ellos pueden infectar nuestro sistema o ser usados para llevar información crítica del sistema.
Con la herramienta USBDeview podemos ver que dispositivos USB fueron conectados al sistema y cuando. Esta herramienta puede mostrar la siguiente información sobre el dispositivo: nombre, descripción, tipo de dispositivo, letra de unidad, número de serie, fecha de instalación, fecha de última conexión y desconexión.
También permite bloquear los dispositivos que seleccionemos, desinstalarlos o bloquear todos los dispositivos USB que se conecten al sistema. Es una aplicación que apenas ocupa 84 Kb lo que la convierte en una herramienta para añadir a nuestra colección de software portable de seguridad.
Más información y descarga de USBDeview:
http://www.nirsoft.net/utils/usb_devices_view.html
Auditar uso de dispositivos USB, FireWire y PCMCIA:
http://vtroger.blogspot.com/2006/09/...tivos-usb.html
de seguridad, porque a través de ellos pueden infectar nuestro sistema o ser usados para llevar información crítica del sistema.Con la herramienta USBDeview podemos ver que dispositivos USB fueron conectados al sistema y cuando. Esta herramienta puede mostrar la siguiente información sobre el dispositivo: nombre, descripción, tipo de dispositivo, letra de unidad, número de serie, fecha de instalación, fecha de última conexión y desconexión.
También permite bloquear los dispositivos que seleccionemos, desinstalarlos o bloquear todos los dispositivos USB que se conecten al sistema. Es una aplicación que apenas ocupa 84 Kb lo que la convierte en una herramienta para añadir a nuestra colección de software portable de seguridad.
Más información y descarga de USBDeview:
http://www.nirsoft.net/utils/usb_devices_view.html
Auditar uso de dispositivos USB, FireWire y PCMCIA:
http://vtroger.blogspot.com/2006/09/...tivos-usb.html
5 comandos para detectar ataques en windows
Etiquetas:
Forense
0
comentarios
Hoy vamos a aprender a examinar una maquina en busca de malware o conexiones no apropiadas de una maquina.
Como muchos sabemos los programas espias , troyanos etc.. utilizan una parte de conexion a internet para mandar datos a su creador o a la persona que nos infecto, hoy vamos a aprender como podemos identificarlos , ya queda en ustedes investigar el nombre del proceso y que tipo de software pueden tener instalado que pueden dañar su integridad , por razones de extencion no vamos a ver que tipos de programas malware existen.
Bueno espero que les guste y aprendan
1) WMIC: Un mundo de aventura espera
Instrumentación de Dirección de Ventanas (WMIC) ; WMIC deja a usuarios administrativos tener acceso a todas las clases de información detallada sobre una máquina en Ventanas, incluyendo los atributos detallados de unos miles de ajustes y objetos. WMIC es construido en D.O.S.
Para usar WMIC, los usuarios deben digitar el comando wmic en el interprete de comandos(D.O:S) el automanticamente lo instalara y estaremos listos para empezar.
Wmic nos permite organizar la salida de las consultas de forma de lista o full.
Por ejemplo, podemos mirar un resumen(sumario) de cada proceso que corre sobre una máquina :
Más allá de mirar el l alias de un proceso, los usuarios podrían incluir en el arranque un proceso determiando, para conseguir una lista de todos los programas de inicio sobre una máquina utilizaremos el siguiente comando:
Una opción práctica dentro de WMIC es la capacidad de controlar un mando de la información creciente en una base repetida por usando la sintaxis " / cada: [N] " .[La N] es un número entero, indicando que WMIC debera controlar la orden dado cada [N] segundos. Así, los usuarios pueden buscar cambios de los ajustes del sistema con el tiempo. Usando esta función para tirar un resumen(sumario) de proceso cada 5 segundos, usuarios podrían correr:
2) El comando net:
Los administradores pueden usar esto para mostrar todas las clases de información útil.
Por ejemplo, " net user" muestra todas las cuentas de usuario definidas sobre la máquina. " net localgroup " muestra los grupos, " net localgroup administrators" muestra los usuarios del grupo de administradores " net start " muestra los servicios que estan corriendo.
Los atacantes con frecuencia añaden a usuarios a un sistema o ponen sus propias cuentas en los grupos de administradores, entonces esto es siempre una idea buena de comprobar la salida de estas órdenes para ver si un atacante ha manipulado las cuentas sobre una máquina. También, algunos atacantes crean sus propios servicios en una máquina.
3) Openfiles:
Como su nombre implica, este mando muestra todos los archivos que son abiertos sobre windows, indicando el nombre de proceso que actúa recíprocamente con cada archivo,esto mostrará todos los archivos abiertos , dando el nombre de proceso y el camino de cada archivo.
Por la cantidad de datos que nos arrojan las estadisticas debemos fltrar la salida de informacion
este comando muestran la actividad de red, enfocando TCP y UDP por defecto. Como los malware a menudo se comunica a través de la red, los usuarios pueden buscar conexiones desconocidas en la salida de netstat, para esto ejecutamos así:
Como WMIC, el comando netstat también nos deja controlarlo cada N segundos. Pero, en vez de usar la sintaxis WMIC " de / cada: [N] ", los usuarios simplemente siguen su invocación netstat con un espacio y un número entero. Así, para catalogar el TCP y puertos UDP en el empleo sobre una máquina cada 2 segundos, usuarios pueden correr:
La mayor parte de las órdenes de las que he hablado hasta ahora dan mucha informacion de salida , que podría ser difícil o maluca la examinacion para una persona encontrar un artículo específico.
Invocado con el mando /c, contará el número de las líneas de su salida que incluyen un valor dado. Los usuarios a menudo quieren contar el número de líneas en la salida de un mando, determinar cuántos procesos controlan, cuantos procesos de arranque están presentes. Para contar las líneas de salida, los usuarios podrían simplemente hacerlo con /c/v " ". Este mando contará (/c) el número de las líneas que no tienen (/v) una línea en blanco (" ") en ellos.
Por ejemplo, para mirar información cada segundo sobre procesos que corren sobre de cmd.exe :
Con estos cinco instrumentos, los usuarios pueden conseguir mucha información sobre la configuración y el estado de seguridad de una máquina por medio de Ventanas(D.O.S) en busca de denticar un compromiso o ataque, sin embargo, un usuario tiene que comparar los ajustes que corren en la maquina examinada con una máquina "normal", no infectada.
by bad_robot
Como muchos sabemos los programas espias , troyanos etc.. utilizan una parte de conexion a internet para mandar datos a su creador o a la persona que nos infecto, hoy vamos a aprender como podemos identificarlos , ya queda en ustedes investigar el nombre del proceso y que tipo de software pueden tener instalado que pueden dañar su integridad , por razones de extencion no vamos a ver que tipos de programas malware existen.
Bueno espero que les guste y aprendan
1) WMIC: Un mundo de aventura espera
Instrumentación de Dirección de Ventanas (WMIC) ; WMIC deja a usuarios administrativos tener acceso a todas las clases de información detallada sobre una máquina en Ventanas, incluyendo los atributos detallados de unos miles de ajustes y objetos. WMIC es construido en D.O.S.
Para usar WMIC, los usuarios deben digitar el comando wmic en el interprete de comandos(D.O:S) el automanticamente lo instalara y estaremos listos para empezar.
C: \>wmic processDe seguro saldra un resultado casi no leible, por la razon que no le dimos comandos para organizar la salida de la consulta.
Wmic nos permite organizar la salida de las consultas de forma de lista o full.
Por ejemplo, podemos mirar un resumen(sumario) de cada proceso que corre sobre una máquina :
C: \> wmic process list briefMostrará el nombre, ID y prioridad de cada proceso, así como otros atributos interesantes. Para Conseguir aún más detalle, digitamos:
C: \> wmic process list fullMuestra todas las clases de detalles, incluyendo el hilo del ejecutable asociado con el proceso y su invocación de línea de mando. Si Investigamos una máquina por una infección, un administrador debería mirar cada proceso para determinar si tiene procesos legítimos sobre la máquina.
Más allá de mirar el l alias de un proceso, los usuarios podrían incluir en el arranque un proceso determiando, para conseguir una lista de todos los programas de inicio sobre una máquina utilizaremos el siguiente comando:
C: \> wmic startup list fullMucho malware automáticamente utiiliza el autoinicio añadiendo una entrada de autorun junto a los procesos legítimos que pueden pertenecer antivirus y varios programas de bandeja de sistema.
Una opción práctica dentro de WMIC es la capacidad de controlar un mando de la información creciente en una base repetida por usando la sintaxis " / cada: [N] " .[La N] es un número entero, indicando que WMIC debera controlar la orden dado cada [N] segundos. Así, los usuarios pueden buscar cambios de los ajustes del sistema con el tiempo. Usando esta función para tirar un resumen(sumario) de proceso cada 5 segundos, usuarios podrían correr:
C: \> wmic process list brief /every:1CTRL+C para parrar el ciclo.
2) El comando net:
Los administradores pueden usar esto para mostrar todas las clases de información útil.
Por ejemplo, " net user" muestra todas las cuentas de usuario definidas sobre la máquina. " net localgroup " muestra los grupos, " net localgroup administrators" muestra los usuarios del grupo de administradores " net start " muestra los servicios que estan corriendo.
Los atacantes con frecuencia añaden a usuarios a un sistema o ponen sus propias cuentas en los grupos de administradores, entonces esto es siempre una idea buena de comprobar la salida de estas órdenes para ver si un atacante ha manipulado las cuentas sobre una máquina. También, algunos atacantes crean sus propios servicios en una máquina.
3) Openfiles:
Como su nombre implica, este mando muestra todos los archivos que son abiertos sobre windows, indicando el nombre de proceso que actúa recíprocamente con cada archivo,esto mostrará todos los archivos abiertos , dando el nombre de proceso y el camino de cada archivo.
Por la cantidad de datos que nos arrojan las estadisticas debemos fltrar la salida de informacion
C: \> openfiles /local on
C: \> openfiles /query /vEste mando mostrará la salida verbosa, que incluye la cuenta de usuario y cada proceso abierto activo. Cuando terminado con el mando de openfiles, puede ser cerrada y el sistema vuelve a sul funcionamiento normal :
C: \> openfiles /local off4) Netstat: Muéstra la red
este comando muestran la actividad de red, enfocando TCP y UDP por defecto. Como los malware a menudo se comunica a través de la red, los usuarios pueden buscar conexiones desconocidas en la salida de netstat, para esto ejecutamos así:
C: \> netstat -naoLa opción-n dice a netstat que muestre números en su salida, no los nombres de máquinas y protocolos, y en cambio muestra direcciones de IP Y TCP o números de puerto de UDP. El-a indica que muestre todas las conexiones y puertos de escucha. La opción-o dice a netstat mostrar el número de processID de cada programa que actúa recíprocamente con el puerto de UDP O UN TCP. Si, en vez de TCP Y UDP, usted está interesado en ICMP, netstat tambien lo puede hacer:
C: \> netstat-s-p icmpEsto devolverá la estadística (-s) del protocolo ICMP. Aunque no tan detallado como el TCP y UDP, los usuarios puedan ver si una máquina envía el tráfico frecuente e inesperado ICMP sobre la red. Algunas puertas traseras y otro malware comunican la utilización de la carga útil de mensajes de Eco de ICMP.
Como WMIC, el comando netstat también nos deja controlarlo cada N segundos. Pero, en vez de usar la sintaxis WMIC " de / cada: [N] ", los usuarios simplemente siguen su invocación netstat con un espacio y un número entero. Así, para catalogar el TCP y puertos UDP en el empleo sobre una máquina cada 2 segundos, usuarios pueden correr:
C: \> netstat-na 25) Find:: Busqueda
La mayor parte de las órdenes de las que he hablado hasta ahora dan mucha informacion de salida , que podría ser difícil o maluca la examinacion para una persona encontrar un artículo específico.
Invocado con el mando /c, contará el número de las líneas de su salida que incluyen un valor dado. Los usuarios a menudo quieren contar el número de líneas en la salida de un mando, determinar cuántos procesos controlan, cuantos procesos de arranque están presentes. Para contar las líneas de salida, los usuarios podrían simplemente hacerlo con /c/v " ". Este mando contará (/c) el número de las líneas que no tienen (/v) una línea en blanco (" ") en ellos.
Por ejemplo, para mirar información cada segundo sobre procesos que corren sobre de cmd.exe :
C: \> wmic process list brief /every:1 | find "cmd.exe"O, para ver que procesos autoinician, son asociados con el registro HKLM :
C: \> wmic startup list brief | find /i "hklm"Contar el número de archivos que se abren sobre una máquina sobre la cual openfiles es activada:
C: \> openfiles /query /v | find /c /v ""RESUMEN:
Con estos cinco instrumentos, los usuarios pueden conseguir mucha información sobre la configuración y el estado de seguridad de una máquina por medio de Ventanas(D.O.S) en busca de denticar un compromiso o ataque, sin embargo, un usuario tiene que comparar los ajustes que corren en la maquina examinada con una máquina "normal", no infectada.
by bad_robot
humor mas
Etiquetas:
humor
0
comentarios
Stone vs iPhone 3G
---------------------------------------------------------------------------------------------
20 cosas por las cuales un programador podría perder la cabeza
1. Que se caiga la conexión de internet cuando uno vaya en un 99% de descargar un archivo de 100MB y no tenga forma de reiniciar la descarga desde el Downloader.
2. Que cuando uno por fin se haya matado haciendo un código de 1000 líneas, se de cuenta que el mismo control lo encuentra gratis y estaba en uno de los sitios que más visita.
3. Desarrollar un sitio ASP.NET sin medir consecuencias y en el justo momento de entregarlo tu cliente te diga que tiene un servidor Apache y que no puedes montar MONO en la máquina.(Para los menos expertos,,, que haga uno un sitio que solo funcione en windows y el cliente tenga linux en el servidor).
4. Que cuando uno termine de montar la PC (instalar desde cero) se dé cuenta que la causa de tus bloqueos se debia a que el mouse estaba sucio.
5. Que cuando llama uno a EPM a que le arreglen la internet,,, como por arte de magia se arregle y una vez uno tira la bocina,,, plof! comienza a agonizar el DSL.
6. Que cuando llueva se caiga la conexión a internet,,, será solo en mi casa que sucede esto?
7. Que en mi casa limpien el teléfono y se caiga la internet.
8. Que el dia que tengas todo el proyecto de tu vida terminado para entregar y listo para probar en una presentación, se te quede en la casa todo el trabajo del fin de semana y llegues a la presentación sin la memoria USB que tiene el trabajo guardado pegado de tu pc,,, en tu casa !
9. Que por ahorrarse uno 10 dólares termine uno involucrado en una batalla campal internacional por un proveedor de dominios(registerfly.com) que habla en inglés y que aun piensa que en Colombia usamos taparrabos.
10. Que tu salario sea inversamente proporcional a tus aspiraciones tecnológicas.
11. Que mi monitor LCD haga interferencia con el secador de cabello de mi tía cuando lo enciende en el segundo piso,,, me siento como si estuviera viendo televisión en una peluquería.
12. Que se vaya la luz a las 0.00 Hr un domingo sin que hayas guardado una sola línea de la investigación de controles web que estabas haciendo y que ya tenías todo listo para comenzar a elaborar el control que soñabas tener. Te odio Notepad.
13. Que mientras que chateo con una persona me llame y me diga que si estoy viendo lo que le estoy escribiendo,,, eso es un sacrilegio y una saturación a los medios de comunicación,,, eso me acuerda cuando transmiten las previas de los partidos de fútbol en directo desde los noticieros y
las personas detrás del presentador llaman desde sus celulares a la familia para que las vean haciendo morisquetas en TV.
14. Que 24 horas de buscar un problema se resuelva con un Commit();.
15. Que 48 horas de buscar un problema se resuelva con unas comillas.
16. Que 72 horas de buscar un problema te des cuenta que Windows te prohibe hacer eso y tu jefe quiere que lo hagas,,, A quien le hago caso, a Windows o a mi jefe?
17. Que hacer una conexión ASP.NET con ORACLE sea más enredado que ver parir un cruce entre erizo y oveja. Pero funcionó como 3 días después sin motivo ni razón alguna,,, eso es lo que yo llamo Teoria de la Relatividad Aplicada a la Programación con Oracle.
18. Que te levantes una mañana comun, silvestre y tranquila y digas "Me encantan los sábados de flojera", siendo miércoles. (Pasa en los Simpson, me pasa a mí y muchas veces me ha pasado, malditos sabados falsos).
19. Que armes toda una teoría Kepleriana de la recursividad para explicar que la recursividad es el resultado de la recursividad de la recursividad y te digan que por qué repites tanto la palabra recursividad, que no es correcto en español repetirla,,, Señora profesora Maria(), como hago para explicarle a un programador Junior qué es recursividad sin utilizar la palabra recursividad más de una vez?
20. Y la última, la que casi siempre me hace perder la cabeza,,, cuando uno está programando y preguntan que como va y uno dice que bien,,, que la persona le responda a uno,,, Gracias aDios {El Líder},,, A Dios? Ojalá dios {El Líder} estuviera en mi asiento programando, de seguro ya habría mandado cerrar Microsoft y a los creadores de Visual C++. Debe ser muy divertido ver cómo un hiciera una plegaria a un software y apareciera código solito y contante,,, sería genial,,, pensaré en ese algoritmo para realizar como segundo proyecto, después de la descendiencia de los blogs. Amo al Líder.
Notas: En este blog estamos teniendo una tendencia fuerte haciael Líder, si eres cristiano o católico o musulmán o judío o lo que sea, tendrás que abandonar tu religión para seguirnos leyendo porque estamos convirtiendo este blog a la secta de los movimientarios. Amamos al Líder. Terminator su amo y señor, asi que todos van a morir por dejar de adorarme. Para esto, les dejo una fotografía de mi Canciller para Latinoamérica para que vayan rezando sus últimas plegarias que no serán escuchadas por él, por las razones que mostramos a continuación (se compró un iPod el desgraciado):
2. Que cuando uno por fin se haya matado haciendo un código de 1000 líneas, se de cuenta que el mismo control lo encuentra gratis y estaba en uno de los sitios que más visita.
3. Desarrollar un sitio ASP.NET sin medir consecuencias y en el justo momento de entregarlo tu cliente te diga que tiene un servidor Apache y que no puedes montar MONO en la máquina.(Para los menos expertos,,, que haga uno un sitio que solo funcione en windows y el cliente tenga linux en el servidor).
4. Que cuando uno termine de montar la PC (instalar desde cero) se dé cuenta que la causa de tus bloqueos se debia a que el mouse estaba sucio.
5. Que cuando llama uno a EPM a que le arreglen la internet,,, como por arte de magia se arregle y una vez uno tira la bocina,,, plof! comienza a agonizar el DSL.
6. Que cuando llueva se caiga la conexión a internet,,, será solo en mi casa que sucede esto?
7. Que en mi casa limpien el teléfono y se caiga la internet.
8. Que el dia que tengas todo el proyecto de tu vida terminado para entregar y listo para probar en una presentación, se te quede en la casa todo el trabajo del fin de semana y llegues a la presentación sin la memoria USB que tiene el trabajo guardado pegado de tu pc,,, en tu casa !
9. Que por ahorrarse uno 10 dólares termine uno involucrado en una batalla campal internacional por un proveedor de dominios(registerfly.com) que habla en inglés y que aun piensa que en Colombia usamos taparrabos.
10. Que tu salario sea inversamente proporcional a tus aspiraciones tecnológicas.
11. Que mi monitor LCD haga interferencia con el secador de cabello de mi tía cuando lo enciende en el segundo piso,,, me siento como si estuviera viendo televisión en una peluquería.
12. Que se vaya la luz a las 0.00 Hr un domingo sin que hayas guardado una sola línea de la investigación de controles web que estabas haciendo y que ya tenías todo listo para comenzar a elaborar el control que soñabas tener. Te odio Notepad.
13. Que mientras que chateo con una persona me llame y me diga que si estoy viendo lo que le estoy escribiendo,,, eso es un sacrilegio y una saturación a los medios de comunicación,,, eso me acuerda cuando transmiten las previas de los partidos de fútbol en directo desde los noticieros y
las personas detrás del presentador llaman desde sus celulares a la familia para que las vean haciendo morisquetas en TV.
14. Que 24 horas de buscar un problema se resuelva con un Commit();.
15. Que 48 horas de buscar un problema se resuelva con unas comillas.
16. Que 72 horas de buscar un problema te des cuenta que Windows te prohibe hacer eso y tu jefe quiere que lo hagas,,, A quien le hago caso, a Windows o a mi jefe?
17. Que hacer una conexión ASP.NET con ORACLE sea más enredado que ver parir un cruce entre erizo y oveja. Pero funcionó como 3 días después sin motivo ni razón alguna,,, eso es lo que yo llamo Teoria de la Relatividad Aplicada a la Programación con Oracle.
18. Que te levantes una mañana comun, silvestre y tranquila y digas "Me encantan los sábados de flojera", siendo miércoles. (Pasa en los Simpson, me pasa a mí y muchas veces me ha pasado, malditos sabados falsos).
19. Que armes toda una teoría Kepleriana de la recursividad para explicar que la recursividad es el resultado de la recursividad de la recursividad y te digan que por qué repites tanto la palabra recursividad, que no es correcto en español repetirla,,, Señora profesora Maria(), como hago para explicarle a un programador Junior qué es recursividad sin utilizar la palabra recursividad más de una vez?
20. Y la última, la que casi siempre me hace perder la cabeza,,, cuando uno está programando y preguntan que como va y uno dice que bien,,, que la persona le responda a uno,,, Gracias a
Notas: En este blog estamos teniendo una tendencia fuerte hacia
fuente:alejandroge.blogspot.com
Pass correcto, este es tu código de verificacion, guardalo
4bfd34a63a15e69a4c49173f1754976b
Meter mi código
4bfd34a63a15e69a4c49173f1754976b
Meter mi código
Suscribirse a:
Entradas (Atom)
Entradas
