Banner 1

La Papelera de reciclaje en Windows Vista/7

Publicado por Unknown en 20:47 sábado, 4 de junio de 2011 Etiquetas: 0 comentarios
Las hay más llenas o más vacías, conteniendo cosas banales o secretos de estado, pero lo que todos los sistemas Windows tienen en común al respecto, es que todos tienen una. En esta ocasión hablaré de Windows Vista y 7, porque de los anteriores ya se sabe bastante.

Lo primero es lo primero y el mérito en este caso corresponde a Mitchell Machor, autor del primer análisis en su documento "The Forensic Analysis of the Microsoft Windows Vista Recycle Bin". Yo sólo comento en castellano y propongo una herramienta.

Todos sabemos que cuando eliminamos una carpeta o archivo, y siempre que no mantengamos pulsado el botón de las mayúsculas, ésta o éste se almacenará temporalmente en la Papelera de reciclaje. Lo de temporalmente en ocasiones no es más que un eufemismo ya que la mayoría de las costumbres reales solemos transferirlas voluntaria o involuntariamente al mundo digital, y no son pocas aquellas que amenazan con desbordarse. ¿Pero cómo se organiza internamente este elemento tan particular?

En las últimas versiones de Windows, entiéndase Vista/7, existe un directorio oculto en cada unidad con nombre $Recycle.Bin. Sin embargo me temo que al final todos ellos apuntan al mismo lugar siendo éste su homónimo en la unidad del sistema:

%SystemDrive%\$Recycle.Bin

utilizando las variables de entorno. Si además tenemos en cuenta que Windows es un sistema multiusuario no será fácil deducir que existirá una Papelera por usuario. Veamos un ejemplo de como se gestiona esta característica en un sistema Windows 7 con dos usuarios:
C:\>dir /A:H C:\$Recycle.Bin
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 9C87-DB2F
 
 Directorio de C:\$Recycle.Bin
 
15/02/2010  20:07              .
15/02/2010  20:07              ..
15/02/2010  20:02              S-1-5-21-1730169009-2451939862-3791123446-1001
15/02/2010  20:14              S-1-5-21-1730169009-2451939862-3791123446-1003
               0 archivos              0 bytes
               4 dirs  14.153.822.208 bytes libres

Simple y elegante, se crea un subdirectorio utilizando para ello el SID de la cuenta correspondiente y ya se encarga el Explorador de Windows de enlazarlo adecuadamente desde la sesión del usuario. Por si hay algún despistado, más sobre SIDs en Microsoft, la Wikipedia y como no, Wadalbertia.

El valor de tiempo asociado al subdirectorio puede servir para acotar la fecha y hora de la primera sesión del usuario en el sistema, siempre que éste haya eliminado algún elemento desde dicha sesión y no haya manipulado este valor. Como suele pasar con la mayor parte de las cosas, nada es del todo seguro.

Identificado el mecanismo interno de gestión utilizado por Windows para las papeleras de los usuarios resta saber como se aclara con los diferentes elementos que almacena. Ahora, para un sistema Vista, veamos el contenido de la papelera del usuario:
C:\>dir C:\$Recycle.Bin\S-1-5-21-1435829524-487146864-2118318027-1000
 El volumen de la unidad C es SYSTEM
 El número de serie del volumen es: B00D-25C9
 
 Directorio de C:\$Recycle.Bin\S-1-5-21-1435829524-487146864-2118318027-1000
 
21/02/2010  22:28               544 $I3UT5T8
21/02/2010  22:28               544 $IN3DQ7V.exe
21/02/2010  22:27               544 $ISW6AHM
21/02/2010  22:27              $R3UT5T8
24/06/2009  22:18           454.656 $RN3DQ7V.exe
21/02/2010  22:27              $RSW6AHM
               4 archivos        456.288 bytes
               2 dirs  19.253.620.736 bytes libres

Del listado anterior podemos obtener parejas de elementos con nombres similares si obviamos los 2 primeros carácteres. Así tendríamos:
$I3UT5T8    $IN3DQ7V.exe    $ISW6AHM
$R3UT5T8    $RN3DQ7V.exe    $RSW6AHM

que el Explorador de Windows interpretará como:


Pues resulta que los ficheros encargados de almacenar la información asociada a cada uno de los elementos eliminados son aquellos que empiezan por $I, y los elementos eliminados serían los que empiezan por $R. El formato interno de los ficheros de información:
  • 8 bytes para la cabecera de fichero que siempre es 01 00 00 00 00 00 00 00.
  • 8 bytes para el tamaño del fichero/carpeta asociado, en formato litle endian.
  • 8 bytes para la fecha y hora de eliminación del fichero/carpeta, en formato litle endian y que se corresponde con el número de segundos transcurridos desde la medianoche del 1 de Enero de 1601 (windows filetime).
  • El resto de bytes, 520 hasta completar los 544 que ocupa cada fichero/carpeta, se utiliza para almacenar la ruta que ocupaba originalmente el elemento antes de ser eliminado. Los carácteres que forman la ruta aparecen separados por un byte nulo (00) que también se utiliza para completar el espacio asignado.
Por lo que he podido experimentar no aparece ningún dato dentro del fichero de información que permita identificar si el elemento eliminado es un arhivo o una carpeta, y en el caso de que sea ésto último la modificación del nombre original únicamente afecta al elemento superior:
C:\>dir C:\$Recycle.Bin\S-1-5-21-1435829524-487146864-2118318027-1000\$R3UT5T8
 El volumen de la unidad C es SYSTEM
 El número de serie del volumen es: B00D-25C9
 
 Directorio de C:\$Recycle.Bin\S-1-5-21-1435829524-487146864-2118318027-1000\$R3UT5T8
 
21/02/2010  22:27              .
21/02/2010  22:27              ..
21/02/2010  22:27              wadalbertia
21/02/2010  22:27              web
               0 archivos              0 bytes
               4 dirs  19.251.822.592 bytes libres

Ahora sabiendo todo lo anterior, y como sigo aprendiendo python, vamos a ver como funciona el script:
C:\>intrash.py -h
Usage: intrash.py [options] path
 
Script that gets information about the contents of a recycle bin from a
Windows Vista/7 system
 
Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f OUTFORMAT, --format=OUTFORMAT
                        format of the output: normal or csv [defaults: normal]
  -o OUTFILE, --output=OUTFILE
                        write output to OUTFILE instead of stdout
  -e OUTENCODING, --output-encoding=OUTENCODING
                        define output encoding [defaults: utf-8]

Tal como indica la ayuda del comando por defecto la salida se vuelca en la consola utilizando utf8, por lo que los carácteres especiales como la ñ y las vocales con acentos aparecerán como caracteres extraños. Para evitar este problema primero obtendremos el encoding utilizado por defecto y posteriormente lo indicaremos en la invocación del comando:
C:\>chcp
Página de códigos activa: 850
 
C:\>intrash.py -e cp850 C:\$Recycle.Bin
 
 
    S-1-5-21-1435829524-487146864-2118318027-1000
 
 
        Trash file: $R3UT5T8
        Path: C:\Users\javi\Desktop\diseñoweb
        Size: 1278246 bytes
        Deleted at: Sun Feb 21 21:28:01 2010 UTC
 
 
        Trash file: $RN3DQ7V.exe
        Path: C:\Users\javi\Desktop\putty.exe
        Size: 454656 bytes
        Deleted at: Sun Feb 21 21:28:21 2010 UTC
 
 
        Trash file: $RSW6AHM
        Path: C:\Users\javi\Desktop\Nueva carpeta
        Size: 0 bytes
        Deleted at: Sun Feb 21 21:27:43 2010 UTC

Ahora si queremos almacenar la salida en un fichero determinado y en formato csv de forma que podamos analizarla facilmente por ejemplo con excel:
C:\>intrash.py -e iso-8859-1 -f csv -o recyclebin.csv C:\$Recycle.Bin
 
C:\>dir recyclebin.csv
 El volumen de la unidad C es SYSTEM
 El número de serie del volumen es: B00D-25C9
 
 Directorio de C:\
 
21/02/2010  23:24               458 recyclebin.csv
               1 archivos            458 bytes
               0 dirs  19.251.257.344 bytes libres

Para facilitar el uso de la herramienta sin tener que obligar a nadie a instalar un intérprete de python he generado los binarios adecuados mediante py2exe. Para utilizar el programa bastará con desempaquetar el fichero zip y almacenar todo su contenido en un mismo directorio, invocándolo desde allí. En el caso de que se muestre un error relacionado con la librería MSVCR90.dll deberá instalarse el paquete "Microsoft Visual C++ 2008 Redistributable Package".

El script está desarrollado de forma que también pueda utilizarse sin problemas desde linux, y como no, he tirado de la inestimable ayuda de mi profesor particular, mi amigo y compañero hilario.

Código, scripts y ejecutable: intrash.zip

En breve más, y mejor, espero.

Agradecimientos a :

http://neosysforensics.blogspot.com/2010/02/la-papelera-de-reciclaje-en-windows.html

Traduccion de documentos word en ingles(otros) a otros idiomas.

Publicado por Unknown en 18:19 viernes, 27 de mayo de 2011 Etiquetas: 0 comentarios
Buenas noches.

Tiempo sin escribir pero les aseguro que valdra la espera.

Hoy tenia que traducir un documento para una bibliografia que estoy usando el documento era un pdf de 800 hojas totalmente en ingles, obviamente el ingles tecnico es facil de manejar pero con tanto contenido se vuelve tediosa la lectura del mismo asi que recurri a los buscadores a como traducir un documento, si bien , ya sabemos que actualmente todos los servicios, programas y demas estan siendo enfatizados al funcionamiento en la web siendo mas portables y funcional el uso del mismo.

Acabo de encontrar un software virtual excelente para realizar la traducción antes de postearlo en el blog realize las pruebas correspondientes dando como resultado una traduccion total del libro y sin perder el formato ni las imagenes que este contenia.

OnlineDocTranslator es el programa a cual va dirigido el post , es un traductor online que permite traducir textos de documentos en formatos word, excel, powerpoint y txt. conservando el formato de cada uno.


Solo consta con  elegir el tipo de archivo, subirlo el detectara el idioma original despues de esto elegimos el idioma resultante, este software usa la  API del traductor de Google asi que no esperen una traduccion completamente entendible.

Pueden entrar al software online con el primer link de las fuentes que cito a continuación, el ultimo link muestra una forma de como hacerlo directamente desde word sin utilizar programas alternos.

Espero que les sirva.

Saludos roboticos.


Fuentes:

http://onlinedoctranslator.com/translator.html
http://www.chicageek.com/traduce-documentos-word-54315
http://www.maestrodelacomputacion.net/doc-translator-traductor-online-de-documentos/

Modulo 1- Intruduccion a Maemo 5

Publicado por Unknown en 19:50 jueves, 27 de enero de 2011 Etiquetas: , , 1 comentarios
Buenas noches.

Hoy empezaremos nuestro mini-curso de como tener una herramienta de hacking en nuestro bolsillo.
Como es debido empezaremos con una breve historia de maemo y terminare con las herramientas mas importantes existentes hasta el momento las cuales usaremos en el transcurso de los modulos.

INTRODUCCION

QUE ES MAEMO?

Es una plataforma móvil basada en Debian, Gnome Mobile y Hildon Framweork, en conclusion Maemo es un sistema operativo ,como symbian y Android solo que symbian es privativo.
Al igual que un sistema operativo, Maemo permite la instalación de programas como: Navegadores(firefox, opera), Office(koffice, office para maemo), editores de fotografía, correo electrónico, reproductores de video(casi todos los codecs populares incluyendo rmvb), entre otros.

Es posible afirmar que el encargado de hacerlo popular ha sido el movil Nokia N900, el cual tiene este sistema operativo por defecto, es inequivoco llamar al Nokia N900 movil ya que novia lo ofrece como una solucion internet tablet.

Bueno despues de tanta teoria que ustedes pueden profundizar en los diferentes enlaces que les dejo en la bibliografia de maemo 5.

Antes de comenzar en forma me gustaria nombre algunos temas interezantes que les puede servir cuando tengan este celular:

1. Realizar Overclocking N900 --Con este aumentamos la velocidad del procesador, recomendable a 1 Ghz para uso de metasploit, air-crack y emulador de play.
2. Flashear Nokia N900 -- Hacemos reset al telefono.
3. Reparticionar La EMMC
4. Agregar Repositorios extras y testing
4. Kernel para modo promiscuo- es igual al de overclocking

Estos son temas muy importantes que deben tener en cuenta , tambien recomiendo visitar la guia rapida que se encuentra en el ultimo enlace de la bibliografia.

QUE VAMOS HACER?

En el transcurso del curso vamos a usar herramientas de Hacking y Seguridad en nuestro nokia n900 para convertirlo en nuestra "Herramienta de juacking de bolsillo"

Despues de instalar los repositorio extras y testing vamos a buscar nuestros programas favoritos, los que pueden instalar facilmente de los repositorios son:

Wireshark
Netcat
Nmap
Tor
Mac-change
Aircrack- Los modulos para injeccion se instalan aparte.
Amsn - para entretenernos xD
Links
Wget
Wifi-eye
Easy-Debian.
Ettercap- Paquete precompilado
Metasploit-Paquete para linux y debe instalar ruby entre otros.
W3af

Ya despues de instalar Easy-debian entramos ya sea por chroot o por entorno grafico e instalamos:

  • tcpdump
  • dsniff
  • weplab
  • tshark
  • wwwstat
  • nessus
  • metasploit
  • cryptcat
  • socat
Si contamos con una memoria micro sd recomiendo instalar NeoPwn "Backtrack Mobile" el cual tiene muchos programas ya configurados, la lista la puede encontrar en el primer link de la bibliografia.

Ya despues de instalar todo lo anterior, estamos listos para realizar nuestras pruebas de seguridad.

TIPS RAPIDOS:

-Sistemas operativos que se pueden instalar

- Debian, fedora, arch y ubuntu con escritorio LXDE
- Meego, muchos dicen que es el reemplazo de maemo
-Android, de google
-Windows 98 y nt virtualizados

-Emuladores mas conocidos:
-Nintendo 64
-Play station 1
-Game boy advanc y color
-Nintendo ds
-Super nintendo

NOTAS:
No sabria que diferencia tiene como herramienta de juacking a el iphone pero si alguien quiere ir comparando seria muy bueno.


BIBLIOGRAFIA

http://www.neopwn.com/software.php
http://linuxmovil.blogspot.com/2007/12/qu-es-maemo.html
http://maemo.org/
http://maemo.nokia.com/
http://todomaemo.com/%C2%BFque-es-maemo-y-para-que-sirve/
http://www.xataka.com/moviles/maemo-6-nos-muestra-el-futuro-de-los-terminales-de-nokia
http://wiki.maemo.org/Easy_Debian
http://www.neopwn.com/software.php
http://www.maemoria.com/?p=7
http://www.phonesfera.com/
http://mundo-n900.blogspot.com/p/guia-rapida.html

Cronograma 2011 enero-febrero

Publicado por Unknown en 19:35 viernes, 21 de enero de 2011 Etiquetas: , 0 comentarios
Buenas noches.

El siquiente sera el cronograma que trabajare estos dos meses para actualizar un poco el blog y tratar una tematica diferente.

La idea de estos dos meses es trabajar sobre maemo 5 mas especificamente sobre nokia n900.

Temas:

Modulo 1- Intruduccion a Maemo 5
Modulo 2- Inseguridad en redes Lan
Modulo 3- Inseguridad Web
Modulo 4- Inseguridad redes inalambricas
Modulo 5- Cracking
Modulo 6- Criptografia basica
Modulo 7- Servicios Seguros
Modulo 8- Criptografia avanzada
Modulo 9- Forense
Modulo 10- Planteamientos futuros.

Estos modulos los trabajere desde el movil y si tienes uno igual puedes seguir paso a paso lo que hiremos trabajando. No sabria si en iphone funciona igual pero seria posible intentarlo.

El modulo 1 lo empezare esta semana.

NOTA:

Modulos alternativos:

Modulo Programación --ruby, python, java , php y mysql
Modulo Inge inversa

Saludos roboticos

Feliz navidad año 2011

Publicado por Unknown en 20:13 miércoles, 29 de diciembre de 2010 Etiquetas: 0 comentarios
Hola.

Parece ayer cuando estábamos despidiendo el año 2009 y esperando el nuevo 2010 donde se estipularon algunas de las cosas que iba hacer en este año, lastimosamente las labores diarias no me dejaron el tiempo suficiente para dedicarme al blog.

Espero que este nuevo año me deje el tiempo que deseo para seguir con el proyecto, actualizarlo en los temas de seguridad, forense y demás información de sistemas que nos pueda interesar.

Este nuevo año la temática del blog ira mas enfatizada en análisis forense sobre entornos windows, también auditoria sobre ellos.

Por la parte de seguridad la realizare desde un celular n900 donde tendré bactrack mobil instalado para realizar las pruebas.

Solo me queda decirles feliz año a las personas que aun lean el blog y sobre todo que se cumplan todas sus metas.

Saludos roboticos
 
Suscribirse a: Entradas (Atom)
Powered by Bad Robot
Helped by Blackubay