Banner 1

scanner-->mira cuanto ocupan las carpeta en tu HD

0 comentarios


Scanner, tiene nombre de tema de seguridad en redes pero en realiadad es una herramienta gratuita para Windows con un enfoque bastante sectorizado: saber qué espacio ocupa cada carpeta en Windows, para de esa manera analizar y diagnosticar la capacidad de nuestros discos duros.


Al momento de ejecutar Scanner,no requiere de instalación, es totalmente portátil, el programa hará automáticamente un escaneo exhausto a nuestro disco duro, para así luego permitirte visualizar gráficamente el resultado del análisis.


Sirve más bien como una herramienta de diagnóstico, para analizar el espacio que ocupa cada carpeta nuestra en el disco duro, y así poder tomar las medidas necesarias para que no perdamos tanto espacio. Sin duda alguna que carece de funcionalidades como la de limpiar carpetas específicas, borrando archivos innecesarios, y un largo etcétera.
Pero de todas maneras, Scanner es una excelente utilidad de diagnóstico.


Nosotros vamos a enfatizarnos en el peso de la carpeta y la cantidad de archivos contenidos en ella, de esta forma podremos determinar si tenemos archivos ocultos en las carpetas a los HD que estemos estudiando, saludos y espero lo aprovechen


Visto en ONSoftware

Sitio oficial | Scanner

Descargar Scanner

Mozy: Utilidad gratuita para hacer copias de seguridad online

0 comentarios


esta herramienta mas que para forense es para la vida diaria , algunas veces nos hemos encontrado con el problema de necesitar archivos importantes y recordamos que se encuentra en casa descanzando xD o algunas veces lo mandamos al correo como prevencion y le decimos a las personas pere lo bajo del correo , ps esto termino aqui les traigo la solucion


Mozy, una herramienta gratis basada en la web que le permite al usuario mantener una gestión seguridad de todos los documentos a los cuales les desea hacer backup, ofreciendo 2 GB gratis y un software de escritorio con el que gestionar todo.
Mozy te ofrece uno de los mejores servicios online para respaldar nuestros archivos más importantes. El procedimiento es sencillo, sólo descargas el programa y desde ahí, te vas a autentificar, y empiezas a hacer backup de tus archivos importantes con su asistente.
Enlace web | Mozy
Enlace | Registro gratis

analisis forense en memoria ram para sacar contrasen'as

0 comentarios
En la memoria esta todo. (o casi de todo).

Se nos puede dar el caso de que un usuario quiera recuperar las contraseñas de acceso a una aplicación o sitio web de un PC que anteriormente ha iniciado la sesión. Depende de la aplicación o del navegador las puede almacenar en disco, cifrando el contenido de las contraseñas, por lo cual este método de recuperación no es valido. (se entiende que el usuario no recuerda la contraseña)

Para ello utilizamos la siguiente 'tool': pd, disponible en la web 'http://www.trapkit.de'

pd es una utilidad que permite extraer de la memoria un determinado proceso basándose en el identificador de proceso (PID) que el sistema le asigna y poder volcarlo a disco. De esta forma no tenemos que 'dumpear' toda la memoria para hacer lo mismo.

En este caso necesito recuperar las contraseñas de acceso a la web de movistar para el envío de mensajes por SMS (desde un puesto de trabajo Linux y con navegador Firefox).



Si vemos el código fuente de la página nos encontramos con las posibles variables a buscar entre ellas (TM_LOGIN, TM_PASSWORD, TM_ACTION)



Manos a la obra:

LINUX:
pd -p 19323 > firefox.dump (donde 19323 es el PID de firefox)

Extraigo el texto del fichero binario a otro fichero más humano (txt)

strings -el firefox.dump> memorystrings.txt

Editamos el fichero TXT y buscamos las cadenas anteriormente citadas

Nos encontramos que la cadena TM_LOGIN, lleva asociado un número (deducimos que es un teléfono), mientras que las demas cadenas no muestran nada coherente.

Curiosamente si buscamos por el número de teléfono, nos da muchisima información, agendas, otros números de contacto, etc. y sobre todo la posible contraseña.

Este procedimiento es identico para Windows con la misma herramienta.

ahora vamos a examinar en caso que se presupone que puede haber información de cuentas de GMAIL en memoria RAM o almacenadas por el proceso. Como bien comenta Pedro, el proceso puede guardar, dependiendo de cómo esté de recursos la máquina en ese momento, la información en varios lugares. Nosotros intentaremos realizarlo desde la RAM. Para ello vamos a utilizar una herramienta de Spectra que, no sé por qué, ha pasado desapercibida durante mucho tiempo. La herramienta se llama User Mode Process Dumper, y sobre ella vamos a trabajar. Esta herramienta tiene la capacidad de volcar al vuelo, y sin tener que matar al proceso, la memoria del proceso que le pasemos como parámetro. Vuelca incluso procesos de sistema!
Para ello, tenemos dentro de la herramienta, un ejecutable llamado Userdump.exe, el cual utilizaremos para este fin. La herramienta tiene soporte para 64 bits y plataformas basadas en Itanium, lo cual es un punto a su favor.
Y para los desarrolladores, esta herramienta tiene un instalador, el cual instala un driver en el sistema, para que pueda Hookear ciertas llamadas al kernel. Realizará estas funciones para dotar a la herramienta de volcar la memoria de un proceso cuando éste finalice de forma no planeada, forzosa, etc…
El funcionamiento de esta herramienta es bastante lógico y muy sencillo de utilizar. Para ello, no tendremos ni que utilizar la herramienta TaskList para visualizar los procesos por línea de comandos, ya que la herramienta viene programada, con el parámetro -p, para realizar esta función.
Imagen 1.- Userdump mostrando procesos
Una vez que hayamos visualizado los procesos por línea de comandos, podremos extraer el contenido de la memoria del proceso que queramos, utilizando para ello la herramienta userdump.exe. El funcionamiento básico, como hemos dicho antes, es bastante sencillo de utilizar.
Imagen 2.- UserDump extrayendo memoria de un proceso determinado
Una vez extraído la memoria del proceso, podremos utilizar le herramienta de SysInternals-Spectra Strings para extraer el texto.
Strings iexplore.dmp > iexplore.txt
Una vez realizado ese cambio, podremos buscar, con la herramienta FindStr o Find texto específico o cadenas de texto específico.
Imagen 3.- Resultado extracción Strings

gracias a Pedro Sánchez por sus inspiraciones xD

saludos

Analisis forense en pantallazos azules

0 comentarios
A todos nos ha pasado. ¿Quien no ha visto una famosa pantalla azul?. En la mayoria de los casos cuando se produce un fallo de estas caracteristicas achacamos el problema al maldito Windows.

Un pantallazo azul a lo contrario de la creencia popular es una parada ordenada que el sistema realiza ante un problema grave que sucede en modo kernel. Todos los sistemas operativos que se basan en kernels monolíticos, comparten el mismo espacio de memoria. (por ejemplo los dispositivos y aplicaciones básicas del sistema) y cuando se produce un fallo que puede alterar la memoria, el sistema manda una orden de parada al procesador, antes de que ocurra un fallo más grave.
Si en contra se produce un fallo en un proceso de usuario, al utilizar memoria compartida provoca el famoso 'casque' de la aplicación sin que se corrompa la memoria, tan solo se puede producir la perdida de datos de esa aplicación.
En el caso de que sea una pantalla azul y cuando se produce un error de estas caracteristicas normalmente se crea un fichero que se llama memory.dmp, el cual contiene información muy valiosa, desde que error lo ha provocado hasta los procesos y aplicaciones que estaban en uso.
Para que un sistema Windows, muestre información ante una parada del sistema hay que configurarlo previamente, en la pantalla sistema.
La información que podemos configurar son las siguientes:
  • Volcado de memoria completo: Vuelca todo el espacio de memoria sobre disco
  • Volcado de memoria del Kernel: Solo se vuelca el espacio de memoria del kernel. El fichero se almacena por defecto en %Systemroot%
  • Volcado pequeño de memoria: Solo almacena la información mínima indispensable Se almacenan en la carpeta %SystemRoot%\Minidump
Se puede utilizar esa información para detectar que ha ocurrido en el sistema o incluso para realizar un analisis forense, ya que del fichero MEMORY.DMP se puede extraer casi de todo, (en ocasiones me he encontrado con contraseñas y con el ejecutable de troyanos.)

EL ENTORNO DE PRUEBAS Para analizar este fichero precisamos montar un entorno de prueba utilizando diversas herramientas, entre ellas el entorno de depuración de windows y su utilidad WINDBG

Vamos a comenzar primero con la instalación. Primero nos descargamos las librerias de simbolos

http://www.microsoft.com/whdc/devtoo...mbolpkg.mspx#d

A continuación las tools

http://www.microsoft.com/whdc/devtoo...tallx86.mspx#a


Seguidamente configuramos 'MiPc' para obtener un volcado completo de la memoria tal y como muestra la imagen.
[IMG]file:///tmp/moz-screenshot-1.jpg[/IMG] [IMG]file:///tmp/moz-screenshot.jpg[/IMG] Por ultimo vamos a provocar un pantallazo azul utilizando la utilidad gratuita 'NotMyfault.exe' de Marck Russinovich (sysinternals). La ejecutamos y disponemos de una preciosa pantalla azul, cuando finalice el volcado de memoria (esta creando el memory.dmp) reiniciamos la máquina y ejecutamos el Windbg, Lo configuramos para que incluya los simbolos del sistema que estan (instalados anteriormente) en c:\Windows\symbols.

Abrimos el fichero desde 'Open crash dump' y ya tenemos en marcha el entorno de depuración.




Bueno, ahora vamos a ver los comandos que se pueden introducir en una consola de depuración.

Para mostrar la versión de sistema: vertarget

Listar los modulos: x *!

Para mostrar información del fallo: !analyze -v


Para obtener los procesos que se estaban ejecutando hay que poner el siguiente comando:

!process 0 0Otra forma es poniendo: !dml_proc

Esta forma es la más intuitiva y funcional ya que podemos navegar por el proceso y obtener información del fallo, así como listar las direcciones de memoria y registros a punteros


Listar los procesos por sesión: !process /s 0 0

Información de sesiones: !session y !logonsession 0

Listar los módulos cargados: lm, lm t n

Estado de la memoria: !vm y !memusage

Causar un volcado completo de memoria:: .dump.crash

Forzar un reinicio (frio) del equipo: .reboot

Más información en:

http://www.software.rkuster.com/windbg/cmd.htm

agradecmientos a Pedro Sánchez por su aporte


Saludos....

chistes NO informaticos

0 comentarios
Cómo se dice en Japonés...

Nuevo hospital japonés: Aki Temato.
Director de la clínica: Dr. Kienkarajo Tekura.
Emergencias: Dr. Takurado Yamimito
Dermatología: Dr. Tukuero Taduro
Endoscopia: Dr. Temeto Tubito
Gastroenterología: Dr. Tesobo Tupanza
Inmunología: Dr. Loawanta Toito
Laboratorio: Dra. Temira Tukaka
Medicina Preventiva: Dra. Tamumal Kelosepas
Neumología: Dra. Tutose Mufuete
Neurología: Dr. Saturo Tukoko
Obstetricia: Dra. Tepalpa Podentro
Odontología: Dr. Tekito Lakarie
Oftalmología: Dr. Temiro Lozojo
Otorrino laringólogo: Dr. Yosi Tesako Mokito
Patología: Dr. Revisao Enchikito
Pediatría: Dr. Tekuro Lakria
Proctología: Dr. Temiro Kulete
Psiquiatría: Dr. Tarayado Tukoko
Radiología: Dr. Tomemo LaFoto
Traumatología: Dr. Tarreklo Tuwueso
Urología: Dr. Tupipi Tamalo

Laboratorio: Esteganografía– ocultar datos en cabeceras TCP/IP

0 comentarios
Creación manual de comunicados esteganográficos

Para la creación de mensajes esteganográficos también se puede usar un par de
programas – SendIP, que sirve para enviar los paquetes, y tcpdump – que permite
interceptar el tráfico TCP. Supongamos que queremos enviar un mensaje con la frase
hack de modo oculto. Por lo tanto seleccionamos uno de los muchos algoritmos
– ocultamos el mensaje en el campo Identificación del datagrama IP. Para enviar
la primera letra del comunicado, hay que introducir la siguiente instrucción:

# sendip -p ipv4 -ii 104 -p tcp -td 80 192.168.1.2

Estas banderas significan que queremos valernos de los protocolos IPv4 y TCP
(-p ipv4, -p tcp), para enviar el paquete al puerto 80 (-td 80) del host con dirección
192.168.1.2. Sin embargo, lo más importante es el valor el campo Identificación –
104 (-ii 104). En el código ASCII esta cifra es la letra h.

Para enviar todo el texto del mensaje (hackin), hay que repetir el procedimiento
para las letras sucesivas, cambiando apropiadamente el valor del campo Identificación:
104 para la letra h, 97 – a, 099 -c ,107 ,– k, 105 – i, 110 – n .
El código ASCII completo lo tenéis en el página http://www.neurophys.wisc.edu/comp/docs/ascii/
El destinatario, para leer el mensaje, antes debe ejecutar el programa tcpdump
que escucha en el puerto 80:

# tcpdump -vvv dst port 80

El valor, camuflado por el remitente, se encuentra en el campo id:
15:58:00.491516 192.168.1.1.0 > 192.168.1.2.http:
S [tcp sum ok] 3843951135:3843951135(0)
win 65535 (ttl 255, id 104, len 40)

Por supuesto, el modo manual de ocultar mensajes es ímprobo e incómodo. No obstante,
de esta manera el destinatario, siempre que conozca el algoritmo esteganográfico,
estará en capacidad de recibir y comprender el comunicado.

referencias: revista hakin9 N4

Conclusiones:

Por causas de perdidas de paquetes o drop , puede darce el problema de que no llegen algunos paquetes y no podamos entender con claridad o como diriamos mas tecnicamente la suma de integracion o la integridad se vio afectada , esto hace que el metodo sea poco utilizado y muy probablemente poco fiable.

Es un metodo dificil de detectar aun haciendo filtrado de paquetes

by bad_robot

saludos

Link en descarga en formato txt

http://www.mediafire.com/download.php?ov4onyyytjz

Laboratorio:Generacion de paquetes tcp/ip con TTpU

0 comentarios
Bueno comunidad aqui les dejo otro minilab sobre generacion de paquetes

RESUMEN:

Con herramientas como TTpU y Hping podemos llegar a general paquetes en un red (enga;ar al servidor , haciendo pensar que es valido), esto se puede convertir en un ataque con altas consecuencias.

En el articulo vamos a mirar los 2 puntos de vista , administrador y atacante

bueno , aqui lo dejo para que practiquen , eso si , para los experimentados no les recomiendo porque ya lo deben saber desde hace mucho

Link de descarga en pdf

http://www.mediafire.com/download.php?m5ye4ddtydo

Laboratorio:Navegacion Anonima bajo Tor

0 comentarios
Lo prometido es deuda , ahora voy a empezar con los laboratorios prometidos y mas adelante por videotutoriales sobre cain y demas aplicaciones

Bueno empezamos nuestra seccion con un laboratorio basico sobre navegacion anonima utilizando TOR, el laboratorio es peque;o y practico (la teoria la encontraran en internet o si la necesitan con mucho gusto publico un manual o tuto).

RESUMEN:

Basicamante el laboratorio es la vision practica para la configuracion de TOR, PRIVOXY y nuestro sistema (Windows , linux) para poder llegar a navegar anonimamente ocultando verdaderamente nuestros" rastros" por internet(hasta nuestro dns de la isp).

Bueno espero que les guste y dudas con mucho gusto

saludos

Link de descarga en PDF
http://www.mediafire.com/download.php?hhlzjddkzdn
Powered by Bad Robot
Helped by Blackubay