Banner 1

De donde salio el nombre de windows vista ?

1 comentarios
el verdadero significado de su nombre:

vistahumor

http://chistesgeeks.com/2008/12/31/la-verdad-sobre-vista/

Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM

0 comentarios
A través del histórico de diciembre 2008 de CriptoRed (gracias, Jorge) he llegado a un documento que versa sobre el análisis forense en dispositivos móviles. El documento se titula Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM y es un trabajo de grado de Carlos Andrés Castillo Londoño y Rafael Andrés Romero Ramírez, bajo la dirección de un viejo conocido del panorama forense, Jeimy Cano, de la Pontificia Universidad Javeriana de Bogotá, Colombia.

Esta guía (163 páginas, PDF) es de lo mejor que he visto en lengua española, ya que no sólo contiene referencias a la tecnología GSM y a las aplicaciones empleadas en recuperación forense (libres y comerciales), sino que también incluye, para cada parte del proceso de investigación, comentarios sobre las mejores prácticas metodológicas que deben tenerse en cuenta.

No os negaré que el 99% de los papers sobre análisis forense son teóricos y que se echa mucho en falta la producción de contenidos prácticos de calidad, pero las metodologías que deben respetarse en un proceso de investigación son importantes y no siempre están claramente documentadas, con lo que os aconsejo la lectura del documento para fortalecer el conocimiento en esta materia. De todos modos, en este caso particular, existen referencias técnicas interesantes relacionadas con los procesos de investigación que complementan adecuadamente la información teórica.

Como sucede con prácticamente la totalidad de cosas en esta vida, todo es mejorable y esta estupenda guía no es una excepción. Tal y como comentan los propios autores, el documento habla de GSM, y no de tecnologías avanzadas (3.xG), y tampoco contiene referencias completas sobre conectividad inalámbrica vía Wi-Fi, que probablemente suponga, cuando los terminales operen mayoritariamente con estas tecnologías, la generación de nuevos modelos de ataque y amenaza, especialmente en lo que a recuperación maliciosa no autorizada de información concierne.

Podéis descargar la guía en http://www.criptored.upm.es/descarga/PUJ-ForensicsGSM-08.zip

Un saludo,


fuente:http://www.sahw.com/wp/archivos/2008/12/31/guia-metodologica-para-el-analisis-forense-orientado-a-incidentes-en-dispositivos-moviles-gsm/

Forense en correo electrónicos - Outlook Express

0 comentarios

Voy a hablar de un tema quizas más complicado de lo normal, como es el análisis forense en correos electrónicos.

La búsqueda, parametrización y reconstrucción de correos es fundamental ante casos como denuncias, insultos, amenazas, etc. en el que el medio utilizado es el correo electrónico.(por ejemplo esto ha sido clave para la detención del jefe del aparato militar de ETA, 'txeroki')

Pocas herramientas son capaces de reconocer los formatos mas usuales que se utilizan en clientes y servidores de correo electrónico. Quizas la suite comercial más completa es FTK. Mientras que enl mundo Open, son muy pocas las que existen y dan cobertura.

En la siguiente lista vemos las suites comerciales y/o Open Source y los formatos que soportan

Comerciales

FTK: Outlook (PST), Outlook Expres (DBX), AOL, Netscape,Yahoo, Eudora, Hotmail, MSN

Paraben's E-mail: Microsoft Exchange, Lotus Notes (NSF)

Open Source

Eindeutig: Outlook Express

libPST:Outlook

Como vemos casi no hay soporte para servidores de correo como Exchange o Lotus Notes, dos de los más utilizados en las empresas como servidores de correo. Por lo tanto en un análisis de correo es muy importante analizar los clientes, ya que como diria 'Grissom' del CSI: 'todo contacto deja rastro'.


Quiero destacar que si se utiliza un webmail, las técnicas son distintas, poniendo foco en los servidores de correo.

FORENSICO DE OUTLOOK EXPRESS

Outlook y outlook express son unos de los clientes más utilizados en las empresas y particulares dado que viene con el sistema operativo (a excepción de Outlook que viene con el office)

El 'outlook express' se compone de una serie de ficheros con extensión DBX.

¿En que consiste el formato DBX?

Por cada carpeta de mensajes y cada newsgroup en Outlook Express, corresponde un archivo con extensión dbx. Este archivo contiene los mensajes e información adicional para acceder rápidamente a estos.

El nombre de este archivo normalmente coincide con el nombre de la carpeta de mensajes o newsgroup.

Por ejemplo, Inbox.dbx o 'bandeja de Entrada.dbx'corresponde a su carpeta de correo entrante.

Por cada cuenta, todos los archivos dbx son almacenados en un directorio llamado store root directory, que puede ser definido seleccionando el comando:

    Tools | Options | Maintenance | Store folder

También existen otros archivos dbx predeterminados en el store root directory pero no contienen una carpeta dentro del Outlook.

Folders.dbx

almacena una estructura de árbol de las carpetas y otra información.

Offline.dbx

contiene los datos de acceso interactivo a cuentas IMAP y Hotmail si es que estan disponibles para Ud.

Pop3uidl.dbx:

almacena información de los mensajes que residen en un servidor POP3.

Normalmente estos elementos DBX, suele estar en la siguiente ruta 'c:\Documents and Settings\usuario\Local Settings\Aplicattion Data\Identitites\{identificador largo que suele ser alfanúmerico}\Microsoft\Outlook Express\'

La utilidad 'Eindeutig' reconoce este tipo de formatos y permite desde extraer su contenido a exportarlo a hoja de calculo. Una de las ventajas que incorpora es que además de ver la cabecera (DBX ID) y el cuerpo del mensaje, también muestra los adjuntos si estos existen.(prácticamente obtendriamos todo el contenido de los correos).

Esta utilidad 'recupera' los correos electrónicos aunque el usuario los haya eliminado (siempre que exista el fichero DBX)

En la siguiente pantalla se puede observar el fichero '000000.txt'





Si editamos el fichero con cualquier visor y nos fijamos en el apartado 'attachment' vemos que contiene un adjunto, el cual no vemos en formato humano (esta en codificado en base 64) pero si que podemos identificar como una hoja de cálculo, dado que nos indica el tipo de fichero (xls).







La siguiente cuestión es como obtenemos el contenido del adjunto, dado que puede contener información relevante.

Para ello podemos utilizar la herramienta 'munpack' disponible desde aquí y por la cual extraemos el fichero asociado en Base64.(También existen multitud de páginas web que hacen esta función)







Una vez extraido y como podemos ver a continuación ,este es el resultado de la hoja de cálculo:








Mas adelante en otro 'post', analizaremos el rastro por los servidores.

fuente:http://conexioninversa.blogspot.com/2008/11/forense-en-correo-electrnicos-outlook.html

Descargar Como Premium en Rapidshare Gratis, Funciona 100%

0 comentarios

54oemvs Descargar Como Premium en Rapidshare Gratis, Funciona 100%
Como usarlo:
En la pantalla principal del programa pulsa sobre el botón verde “+” y pega el enlace de descarga de Rapidshare.Eso es todo, luego pulsa en descargar y listo.
Descargalo con seguridad “NO ES UN FAKE” funciona a la perfección.
***************************

Como Instalarlo:
1- Abre la carpeta “Setup” y ejecuta (doble click) el archivo “dldsetup.exe”
2- Sigue los pasos de la instalación, recuerda en que carpeta instalas el programa. Por defecto seria “C:Archivos de programaDownload Direct”
3- IMPORTANTE!!! Cuando llegues al último paso de la instalación debes destildar “Ejecutar Download Direct Ahora”.
4- Pulsa “Finalizar”
5- Abre la carpeta “Crack” y copia el archivo “DLD.exe”, ahora ve a la carpeta donde instalaste el programa (la que tenias que recordar) y pega ese archivo que recién copiaste, te va a preguntar si deseas sobrescribir el archivo existente, decile que si “por supuesto”.
Eso es todo ya puedes descargar premium desde rapidshare, a una excelente velocidad, sin esperas y múltiples descargas.
1230533851_descarga Descargar Como Premium en Rapidshare Gratis, Funciona 100%

Este mirror pertenece a loswarez.com , pero existe otro en x-caleta

PD: confirmado de que el programa sirve :D

Windows Memory Forensics Tools

0 comentarios
SANS recently published a good summary of Windows memory forensics acquisition and analysis tools. It’s a good compilation of must have tools for the right occasion.

Aqui hago un resumen de las herramientas, el ingles es basico y se entiende por eso no voy a realizar traduccion xD

Acquisition Tools

The following tools ordered from free to commercial, and they all support newer Windows operating systems including Vista and Server 2003.

  • Mandiant Memoryze (free) screenshot - Mandiant is one of the first companies that comes to mind when I think about incident response. The company is headed up by Kevin Mandia, considered by many to be the father of incident response, and they’ve released free tools like First Response, Web Historian and Red Curtain. Memoryze is based on code from their extremely powerful Mandiant Intelligent Response product, it produces a raw, dd-style dump of memory and doubles as an analysis tool.
  • Mantech Memory DD or MDD (free) screenshot - There isn’t much to say about this other than it works. The output is a raw, dd-style dump of memory.
  • win32dd (free) screenshot - Full-featured memory dumper that dumps to both raw, dd-style and WinDbg-compatible formats. The latter format can be imported into WinDbg for analysis.
  • Guidance Software’s winen.exe (commercial but included in Helix 2.0) screenshot - Dumps memory into an Encase E01 evidence file with the ability to compress the output. To get a raw, dd-style dump, libewf tools or FTK Imager can be used to convert the resulting E01. The version shipping with Encase 6.12 supports SHA-1 hashing.
  • encasephysmem1Guidance Software’s Encase (commercial) - The standalone product allows capture of both physical memory and individual processes from the local machine that Encase Forensic is running on. The screenshot on the right shows what physical memory and the individual processes look like during acquisition.
  • F-Response (commercial) screenshot - Enables remote, read-only access of physical memory. Another imaging tool is required to do the actual imaging (FTK Imager, Encase, dcfldd). Format of dump depends on tool used for acquisition.
  • GMG Systems’ KnTDD (commercial) - I’m mainly mentioning KnTDD for posterity’s sake because it was the first tool for acquiring memory from newer Windows operating systems, but I’ve not seen any news of updates recently.
  • fastdump (free) screenshot - Created by HBGary for use with their Responder Professional tool. It currently doesn’t support newer operating systems, but the company says they will release an updated version soon.

Analysis Tools

The following tools support the raw, dd-style physical memory dumps.

  • Volatility Framework (free) screenshot - Python-based analysis tool with plug-in support like Jesse Kornblum’s recent cryptoscan and suspicious. Works great with the tools above.
  • Mandiant Memoryze (free) - Reads it’s own files and raw, dd-style dumps created by the other tools above. There is a slight focus towards malware detection and output is in XML. See Rob’s blog post for examples of using Memoryze for analysis.
  • HBGary Responder (commercial) - Very powerful tool for memory analysis and automated reverse engineering of malware. Guidance Software is now a reseller and partner. Encase Forensic’s Memory Analyzer EnScript exports physical memory out into a raw, dd-style dump with the .bin extension for analysis by Responder.
  • memoryanalyzerEncase Forensic (commercial) - By itself, the standalone version of Encase does not have direct analysis capabilities without having HBGary Responder installed, but several EnScripts exist for examining memory dumps. The screenshot to the right show some of the available EnScritps that will be discussed in a later blog post.
Si quieren ver el post original aqui les dejo el link :D

SANS forensics

Saludos




Descarga TeraBIT Virus Maker 2.8 + tuto introductorio

4 comentarios
Bueno como vimos en el anterior post miramos como panda detecto esta herramienta, hoy voy a dejar el link de descarga y una pequen'a introduccion del mismo , recomiendo visitar las referencias por si no saben camuflarlo con themida saludos y acuerdecen que si lo utilizan es bajo su responsabilidad xD

Imagen de pantalla prinsipal:



PD: Cuando creen el virus no se olviden de pasarle el themida para hacerlo indetectable.

Descargar Terabit Virus Maker (Link Arreglado y cambiado a rapidshare, funciona, comprobado por mi)

Si tienen problemas con la descarga dejen un comentario. Y cambio el link

mirror de descarga gracias a rincon del hacker
Descarga TeraBIT Virus Maker 2.8


Tuto:

Lo descomprimimos y nos saldrán estos archivos:







Creación del virus


Ejecutamos el "Client.exe" y aparecerá la siguiente ventana






Su programación es muy sencilla y se puede personalizar

Para ello marcamos la casilla de la función o funciones, (ya que podemos seleccionar cuantas queramos), que más nos guste

Para ello les dejo una lista traducida de todas ellas, están en orden:





-Turn Off Monitor : Apagar el monitor.
-Mute System Volume : Mute sistema de volumen.
-Close Internet Explorer Every 10 Sec : Cerrar el Explorador de Internet cada 10 segundos.
-Slow Down PC Speed : Reducir la velocidad del PC.
-Disable Task Manager : Desactivar el Administrador de tareas.
-Avoid Openin MsConfig : Evitar apertura messenger config.
-Disable Windows Firewall : Desactivar Firewall de Windows.
-Transparent My Computer (100%) : Transparente Mi PC (100%).
-Open/Close CD-ROM Every 10 Sec : Abrir / Cerrar CD-ROM cada 10 Sec.
-Swap Mouse Buttons : Swap botones de ratón.
-Disable Regedit : Desactivar Regedit.
-Locking Drives,Directory : Bloqueo de unidades, directorio.
-Play Beep Every Sec : Suena un pitido cada Sec.
-Always Clean Clipboard : Siempre limpio portapapeles.
-Disable System Restore : Desactivar Restaurar sistema.
-Disable CMD : Desactivar CMD.
-Lock Internet Explorer Option Menu : Bloqueo de Internet Explorer la opción de menú.
-Remove Run From Start Menu : Retirar el período comprendido entre el menú Inicio.
-Adding 30 Windows User : Adición de usuario de Windows 30.
-Turn of Computer After 5 Min : Apagar de equipo después de 5 min.
-Avoid Opening Media Player : Evitar la apertura de Media Player.
-Avoid Opening Calculator : Evitar la apertura de la calculadora.
-Delete Windows Fonts : Eliminar las fuentes de Windows.
-Delete Windows Screen Savers : Eliminar ventanas protectores de pantalla.
-Remove Desktop Wallpaper : Eliminar Fondos de Escritorio.
--------------------------------------------------------
-Funny Start Button : Botón de inicio loco.
-Hide Desktop Icons : Ocultar iconos de escritorio.
-Format All Hard Drives : Formato de todos los discos duros.
-Hide Taskbar : Ocultar tareas.
-Spread With Floppy : Unte con Floppy.
-Avoid Opening Notepad : Evitar la apertura de Bloc de notas.
-Avoid Opening Wordpad : Evitar la apertura de Wordpad.
-Hide Start Button : Ocultar botón de inicio.
-Hide WindowsClock : Ocultar WindowsClock.
-Avoid Opening Gpedit : Evitar la apertura de Gpedit.
-Disable Screen Saver : Desactivar protector de pantalla.
-Disconect From Internet : Disconect de Internet.
-Avoid Opening Yahoo Messenger : Evitar la apertura de Yahoo Messenger.
-Avoid Opening Mozila Firefox : Evitar la apertura de Mozila Firefox.
-Gradually Fill HArd Disk : Poco a poco llenar disco duro.
-Disable Automatic Updates : Desactivar Actualizaciones automáticas.
-Disable Task Scheduler : Desactivar Programador de tareas.
-Disable Windows Themes : Desactivar Windows Temas.
-Disable telnet : Desactivar telnet.
-Disable Windows Messenger : Desactivar Windows Messenger.
-Funny Mouse : Ratón Loco.
-Funny Kayboard : Teclado Loco.
-Hide Folder Option Menu : Ocultar carpeta menú de opciones.
-Delete All Files In My Documents : Borrar todos los archivos en Mis documentos.

Cuando tengamos seleccionadas las funciones que queremos, seguimos personalizando nuestro virus. Estas son sus opciones:





(1*): Adjuntar un archivo, como una foto o una canción, para que cuando nuestra victima lo abra también se abra ese archivo y no se de cuenta de que era un virus(es decir actúa como blinder)

(2*): Poner una mensaje de error para que salga después de ejecutar el virus, podemos darle a "test" para hacer una prueba de como saldrá el mensaje.

(3*): Aumentarle el tamaño para que no resulte tan sospechoso un archivo tan pequeño.

(4*): Cambiar el nombre que saldrá en el administrador de tareas de la victima

(5*): Cambiar el icono para que no sea tan sospechoso

(6*): Ponemos el nombre de nuestro archivo

Por ultimo le damos a "Create Virus" (7*) y ya tenemos nuestro virus creado, se encuentra en la carpeta donde esta el "client.exe".

fuentes:

http://troyanosyvirus.com.ar/2007/12...rus-maker.html
http://downtwarez.com/foro/hacking/2...ker-2-8-a.html
http://www.rincondelhacker.com/hacki...s/terabit.html
http://troyanosyvirus.com.ar/2008/03...40-metodo.html
http://invisiblehack.mforos.com/1109...a-crear-virus/

PD: no se olviden de desactivar el antivirus antes de descargarlo xD y despues de crearlo realizar un blind puede ser con themida

Herramientas para un administrador de red II.

0 comentarios

Continuando el post anterior voy hablar de otras dos herramientas muy interesantes para analizar y probar el correcto funcionamiento de una red, se trata de: Ntop y MRGT.

Ntop.

Es un analizador de red para Windows y Linux, que nos permite identificar problemas en la red y malas configuraciones. Puede analizar los siguientes protocolos: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk y Netbios.
Para poder usarlo se necesita tener instalado: lsof, nmap, Librerías OpenSSL y Servidor MySQL.

Ejemplo de uso de Ntop:

ntop -P /var/lib/ntop -w 3003 -W 3006 -i eth0 -b localhost:4000 -d -E -L -a /www/logs/ntop.log

-P /var/lib/ntop: Donde se almacenan las tablas hash.
-w 3003: Correr el servidor Web en el puerto 3000.
-W 3006: Correr el servidor Web utilizando SSL en el puerto 3003.
-i eth0: Capturar todo el tráfico que pasa por el interface de red eth0.
-b localhost:4000: Donde se encuentra el servicio puente para el servidor MySQL.
-d: Para ejecutar Ntop como demonio.
-E: Para que ejecute herramientas externas como: lsof, nmap ...
-L: Para que realice un archivo de log.
-a /www/logs/ntop.log: Fichero de acceso a la página web del ntop.

En la web que genera Ntop podemos ver los siguientes apartados:

  • Data Rcvd, Data Sent: Muestra los datos recibido/transmitido. Permite agruparlo por protocolos, qué cantidad se ha tratado, actividad de cada host y netflows.
  • Stats: Es el apartado de estadísticas, muestra información muy completa acerca del estado de la red. Muestra si el tráfico unicast o multicast, también: la longitud de los paquetes, el Time To Live del paquete y el tipo de tráfico.
  • IP Traffic: Muestra información del sentido del tráfico de red.
  • IP Protos: Estadísticas de protocolo, pero a nivel de red como conjunto de hosts.
  • Admin: Sirve para configurar el uso de Ntop una vez en ejecución: cambiar el inerfaz de red, crear filtros y gestión de usuarios.

Más información y descarga de Ntop:
http://www.ntop.org/

Documentación de Ntop:
http://www.ntop.org/documentation.html

MRGT.

Multi Router Traffic Grafer (MRTG) monitoriza la carga en routers. Monitoriza los dispositivos SNMP y crea los gráficos con la información de cada interfaz. MRTG genera páginas HTML con imágenes en formato GIF o PNG que representan la carga que soportan los router.

Necesita de los paquetes: gd, libpng y zlib. Es esta disponible para Windows y Linux.

Más información y descarga de MRGT:
http://oss.oetiker.ch/mrtg/

fuente:http://vtroger.blogspot.com/2008/12/herramientas-para-un-administrador-de_26.html

CD To live

2 comentarios
Hola a todos,

Existen muchas versiones 'live cd' basadas para el analisis forense, entre ellas quisiera destacar dos distribuciones que han sido y serán de gran utilidad en la investigación forense, por lo menos para mi. La primera es HELIX3 v1.7.

HELIX

Esta basada en una distribución Linux Ubuntu que ha sido especialmente modificada para no afectar en manera alguna al ordenador a analizar. Desde luego también funciona en Windows.

Una herramienta muy versatil, comoda y facil de usar; en resumen, imprescincible para cualquiera que desee trabajar en este campo. Poco tengo que decir, todo o casi todo es bueno.

En la siguiente imágen teneís un listado de las utilidades que dispone:


Utilidades

Otras de las imágenes más sugerentes:


Informe de resultados


Buscador de imágenes


Más utilidades

SIFT

La segunda que más aprecio es SIFT de SANS, por su capacidad de aprendizaje que tiene la herramienta, ademas de estar supervisada por el famoso experto rob lee

La prestigiosa firma SANS ha liberado la versión 1.2 de su aplicación basada en VMWARE y llamada SANS SIFT Worktation.

SIFT es un sistema configurado con todos los instrumentos necesarios para realizar un examen forense. Es compatible con Expert Witness Format (E01), Advanced Forensic Format (AFF), y clonaje de discos raw (dd).

La aplicación es utilizada en los cursos propios de SANS para el análisis forense, la investigación, y respuesta ante incidentes. Entre otras cosas enseñan a analistas a examinar datos de sistema de ficheros y estructuras de metadatos para aumentar su entendimiento de los sistemas FAT/NTFS/UNIX/LINUX.

Los cambios en la versión 1.2 son:

PTK 1.02
Afflib-3.3.4
Aimage-3.2.0
autopsy 2.20
Sleuthkit-3.0: Compilado con HFS
Grokevt-0.4.1: Es una colección de Scripts construidas para leer el visor de eventos de Windows NT/2K/XP/2K3
Libpst-0.5.3 PST: Libreria sobre Linux
Reglookup-0.9.0: RegLookup es una pequeña utilidad de línea de mando para leer el registro basado en Windows
Tableau-parm-0.1.0: Ees una pequeña utilidad de línea de mando diseñada para actuar recíprocamente con bloqueo de ficheros
Rapier_0.1alpha: Nuevo 'Data carver'

Utilidades en PERL

regripper.pl --> Utilidad de extracción de información del registro
deleted.pl ----> Busqueda de claves eliminadas
regtime.pl ----> Timestamp del registro

También el Software Incluye: (/usr/local/src)

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

fuente:http://conexioninversa.blogspot.com/2008/12/cd-to-live.html

Restaurador archivos DLL windows

0 comentarios


Las librerías DLL son unos elementos que más de una vez nos ha dado un quebradero de cabeza en nuestros PC's, raro es el usuario que alguna vez no haya buscado alguna librería que le hacía falta al instalar algun software o realizar algún tipo de actuación que precisa de alguna DLL.



Las Dinamic Link Library, conocidos como .dll, son ficheros que permiten el funcionamiento de aplicaciones Windows. El utilizar este tipo de ficheros alivia en gran parte a los programadores de software, que conociendo las características de cada librería puede desarrollar aplicaciones mucho más rápido y fácil. Pero ese alivio para los diseñadores puede convertirse en un dolor de cabeza cuando uno de estos ficheros está dañado o falta en tu sistema.

Descargar
Peso:5Mb

Fuente:http://kat-black.blogspot.com/2008/12/restaurador-archivos-dll-windows.html

obtener datos de la memoria de paginación

0 comentarios
En anteriores post hemos visto como obtener información sobre la memoria con diversas utilidades, todas ellas muy practicas para las evidencias.

Cuando nos encontramos con un incidente en un equipo, nos queda la cuestión de decidir sobre que hacer con el, ¿lo apagamos?, ¿lo dejamos encendido?. Ante tales casos hay que intentar obtener la mayor prueba de evidencias.

Si lo dejamos encendido tenemos que obtener datos del sistema y de la memoria. Si lo tenemos que apagar, lo mejor ( o así opino yo) es 'tirar del enchufe' de alimentación de corriente, dado que si apagamos de forma ordenada perderemos evidencias de la memoria física y la memoria de paginación.

Hoy vamos a ver como obtener datos de la memoria de paginación o lo que es lo mismo del fichero:

PAGEFILE.SYS
NO ME PIRATEES ES PROPIEDAD INTELECTUAL
El archivo de paginación (Pagefile.sys) es un archivo oculto situado en el disco duro del equipo que Windows utiliza como si fuera memoria RAM. El archivo de paginación y la memoria física conforman la memoria virtual. De manera predeterminada, Windows almacena el archivo de paginación en la partición de inicio, que es la partición que contiene el sistema operativo. El tamaño predeterminado del archivo de paginación es 1,5 veces la cantidad total de memoria RAM.

Bien, ante esta situación es predecible que se pueda obtener datos de la memoria RAM sobre el fichero. Para ello nos ponemos manos a la obra.

Primero montamos el disco 'clonado' (en nuestro ejemplo: windows2003.img) con la utilidad que más os guste. Bien para Windows con 'Mount Image Pro' o 'filedisk' , o en Linux con 'loop', por ejemplo:

mount -o loop windows2003.img loop/


Ejemplo de montaje en Linux

Una vez montado el disco virtual, copio el fichero 'pagefile.sys' a nuestro disco 'C:' y a continuación extraigo del fichero 'pagefile.sys' los datos de texto a un formato más humano, para ello utilizo el siguiente comando:

strings pagefile.sys > pagefile.txt

NOTA: En windows, utilizamos el comando Strings de sysinternals y disponible desde aquí


Una vez que obtengo el fichero 'pagefile.txt' voy a realizar la siguiente consulta a este nuevo fichero, por ejemplo voy a consultar por la palabra '.DOC'

Para ello escribo (en Linux):

cat pagefile.txt | grep ".doc" y nos mostrara en pantalla las rutas de los ficheros DOC

Si esto mismo lo hago en Windows se utilizará el comando 'findstr' (disponible en todas sus versiones) y sería de la siguiente manera:

findstr ".xls" pagefile.txt


Ejemplo de busqueda de ficheros XLS

Vamos a ver otros ejemplos de forma gráfica, los comandos están al principio de cada ventana:

Buscando contraseñas:


Buscando ficheros con datos de navegación


Buscando conexiones al equipo:


Mirando la configuración del equipo:


Conclusiones:

El fichero de paginación es un arma muy potente para poder buscar información que a simple vista no se encuentra, ademas de proporcionar información muy valiosa en el momento que se produjo la incidencia en el equipo.

NOTA: El fichero 'windows2003.img' es un fichero de imágen descargado del reto forense organizado en 2006 por RedIris y UNAM-CERT de México

Fuente:http://conexioninversa.blogspot.com/2008/12/perdidos-en-el-espacio.html

Ejecutar aplicaciones con combinaciones de teclas en Windows

0 comentarios

Windows XP

Todos ya sabemos que Windows (en este artículo hablaremos específicamente de la versión XP) contiene -por defecto- ciertas combinaciones de teclas que nos permiten realizar acciones de una forma más rápida, como por ejemplo “Tecla Windows + E” para ejecutar el explorador de archivos, o “Tecla Windows + D” para mostrar el escritorio, y así la lista sigue, pues son infinitas combinaciones que tenemos para realizar casi que cualquier acción en Windows XP, que automatizan y agilizan la realización de cualquier operación en el sistema operativo; particularmente no puedo vivir (hablando de informática, claro está) sin las mismas, porque me hacen la vida un poco más práctica, así ahorro mucho tiempo.

De igual manera Windows nos permite asignar a cualquier aplicación una combinación de teclas que queramos, para así acceder con sólo presionar un conjunto de teclas de forma simultánea. En Windows a ésto se le llama “Tecla de método abreviado”, ya que “Ctrl + Alt” es una combinación estándar de Windows, el resto sería asignar una tecla en específico.

Dicho truco (o función) trabaja con cualquier aplicación, y lo que debemos hacer es:

  1. Hacemos un clic derecho en la aplicación que deseamos (yo seleccioné Firefox) y luego presionamos en la opción “Propiedades” en el menú contextual desplegado.
  2. Ejecutar aplicaciones con combinaciones de teclas

  3. En la ventana de Propiedades de la aplicación que hemos escogido buscamos un apartado que dice “Tecla de método abreviado”; en la misma, asignamos la tecla que queramos. En mi caso asigné la tecla F (inicial del programa escogido Firefox).
  4. Ejecutar aplicaciones con combinaciones de teclas

  5. Aceptamos, y eso es todo lo que debemos hacer.

De tal manera que cuando yo quiera abrir Firefox solamente haga la combinación “Ctrl + Alt + F”, así le asigné a diferentes aplicaciones: Paint (Ctrl + Alt + P), Photoshop (Ctrl + Alt + D), FileZilla (Ctrl + Alt + G). Es una ágil forma de acceder rápidamente a nuestras aplicaciones.

Truco visto en MakeUseOf


Fuente:http://www.bloginformatico.com/ejecutar-aplicaciones-con-combinaciones-de-tecla-en-windows.php

Averiguar si un sitio web es sensible a técnicas de Google Hacking.

0 comentarios
Utilizando la una herramienta que se clasifica entre el típico escáner de servidores y el escáner de aplicaciones web, se trata de Wikto. Con Wikto podemos localizar directorios y ficheros que comprometan la seguridad del sitio web y vulnerabilidades más comunes.

Los componentes de Wikto son:

Mirror & Fingerprint: Por una parte se examinan los link que tiene el sitio para descubrir los directorios. El otro componente examina las huellas del servidor web para identificarlo.

Wikto: Es el motor de Nikto un explorador basado texto de vulnerabilidades de servidores web, escrito en Perl. Nikto explora más de 3000 problemas potenciales de seguridad, en un web server.

BackEnd: Se basa en buscar directorios en el sistio web basándose en una lista de los nombres de directorios que suelen tener información sensible.

Googler: Busca directorios y archivos sensibles en el sitio web, usando búsquedas especiales en google. Utiliza operadores como: "filetype", "site"… combinándoles entre sí. Una vez ejecutada la busqueda, se muestran los resultados de directorios extraídos desde las URLS que se debe inspeccionar manualmente.

Googlehacks: Esta sección realiza búsquedas en Google, utilizando la base de datos GHDB (Google Hacking Database), donde se encuentran todas las cadenas de búsqueda susceptibles de devolver información sensible. Se puede ejecutar las cadenas de forma individual, modificarla manualmente y volver a ejecutarla.

Más información y descarga de Wikto:
http://www.sensepost.com/research/wikto/

Modo de empleo de Wikto:
http://www.sensepost.com/research/wikto/using_wikto.pdf

Escáner de vulnerabilidades de servidores web:
http://vtroger.blogspot.com/2007/10/escner-de-vulnerabilidades-de.html

Windows Vista Live - Cargarlo en tu USB

0 comentarios

Un Live CD USB o CD autónomo es un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD, que puede ejecutarse sin necesidad de instalarlo en el disco duro de una computadora, eso es una práctica muy común en Linux y aunque Microsoft no ha dado soporte a Windows no para eso, alguién ya lo hizo y lo subió a internet para que todos podamos descargarlo, les dejo el enlace por si les es de utilidad.




Descarga + parte 1
Descarga + parte 2

peso total : 125mb

fuente:http://kat-black.blogspot.com/2008/12/windows-vista-live-cargarlo-en-tu-usb.html

Memorias Securinf v2.0

0 comentarios

El 17 de diciembre se llevo a cabo el Seminario de Seguridad Informática SecurInf v2.0 en la ciudad de Popayán, en el se expusieron temas actuales sobre seguridad de informática (Clickjacking), tipos de fraudes en linea (Phishing), ingeniería inversa (cracking de software), y un wargame practico en el que participaron los asistentes al evento.

fuente:http://blog.segu-info.com.ar/2008/12/memorias-securinf-v20.html

Mobile Phone Unlocking 2008- Desbloqueador de Moviles.

0 comentarios

Mobile Phone Unlocking 2008, es una aplicación que viene equipada con todas las herramientas nuevas para desbloquear los teléfonos móviles de las marcas:

Sony Ericsson
WinDCT3
WinDCT4
WinDCT4v201
Nokia (toda la versión incluyendo S60)
Último
7110exp
Phoenix




Descargar
Peso:17MB

fuente:http://kat-black.blogspot.com/2008/12/mobile-phone-unlocking-2008.html

aplicaciones para windows

0 comentarios
AV Voice Changer 6 + Efectos - Arregla tu Voz En tiempo Real



El programa tiene varias voces predefinidas de políticos y actores que podemos parodiar con facilidad, por ejemplo George Bush, Brad Pitt o Samuel L. Jackson. También se pueden ajustar las preferencias del sonido hasta asemejar nuestra voz al perfil de otras personas célebres.



PROGRAMA
http://rapidshare.com/files/73040174...nd.v6.0.10.zip
Peso:11mb

EFECTOS
http://rapidshare.com/files/73038231...__Efx_Pack.zip
Peso:27MB

Pass: nortek

nota: Si quieren algo mas professional.. recomiendo el Sony Vegas.

Invisible Spy Software 2009 8.4 - Quieres saber q hacen en tu Pc mientras tu no estas?



Software espía de ordenador / software de supervisión por eMatrixSoft, Invisible Spy Software - Invisible Keylogger, correo electrónico y mensajería de software espía. Perfecto para la captura de los tramposos, los empleados de vigilancia, los niños y los cónyuges, la adquisición de otros "contraseñas, registros de chat y los sitios web visitados, e incluso investigar crímenes.

Invisible Spy software le permite saber exactamente lo que otros hacen en su PC mientras que usted está ausente. Permite que usted secretamente a vigilar y registrar todas las actividades en su computadora, y esto es completamente legal. Tales actos de supervisión tan sigilosamente que el usuario ganó "sé de su existencia.



Registra todas las pulsaciones de teclas mecanografiadas, MSN Messenger, Windows Live Messenger, ICQ de mensajería, AIM, Yahoo! Messenger, Windows Messenger y Skype "s chat de texto, páginas web visitadas, leer mensajes de correo electrónico, documentos abiertos, ventanas abiertas, activaties portapapeles, las contraseñas mecanografiadas y aplicaciones ejecutadas. Invisible Spy software incluso toma instantáneas de pantalla en su conjunto como el intervalo de una cámara de vigilancia.
En el modo sigiloso, es completamente invisible para los usuarios de computadoras. Sin embargo, es fácil para usted mostrar a su programa principal del panel de control con su tecla rápida, ver el registro secreto de la CP en el ordenador directamente supervisado, o recibir todos los documentos de registro personalizado a través de su correo electrónico o servidor FTP! Estos informes pueden ser enviados tan a menudo como usted desea, como cada sesenta minutos (ajustable). El software puede ser protegido con contraseña para prevenir que otras personas terminación o desinstalarlo.


http://rapidshare.com/files/17315851...nazoft.com.rar
Peso:9Mb


Noob 1.0.0 - Oculta ventas o Programas con solo una tecla




Quieres abrir MSN, Internet Explorer o Firefox en el trabajo sin que te descubran? Noob es tu programa, freeware y en español.

Cansado de tener que mirar si el jefe viene para cerrar todo rapido y perder las conversaciones o sitios que visitabas? Noob viene para socorrerte y evitar que pierdas el trabajo para saludar a los colegas o mirar un sitio web.



Noob permite ocultar las ventanas que tu elijas con un solo boton, Asi de simple, ya era hora de que crearan esto para ti.

Es muy intuitivo, seleccionas los programas que quieres que se oculten y luego tocando F6 puedes ocultarlos/mostrarlos.

http://rapidshare.com/files/169712494/Noob_1.0.0.rar
Peso:20kb

Okoker MP3 Splitter v5.0 - Divide Archivos de Mp3




Okoker Mp3 Splitter es un programa potente, práctico y fácil de usar, para dividir archivos de Mp3. Permite realizar cortes en cualquier archivo de audio de Mp3, tantas veces como se necesite y sin pérdidas de calidad.


Es un procedimiento muy sencillo, por lo que el usuario no necesita tener conocimientos de sonido. Con Okoker Mp3 Splitter solamente tienes que elegir el archivo con el que quieres trabajar, y a través de un gráfico de onda de sonido, elegir los puntos donde quieres realizar los oportunos cortes, con la ventaja de que no necesitas controlar el tiempo que dura el Mp3. Igualmente, si lo prefieres, puedes dividir los ficheros por bloques o por tiempo.

Divide tus archivos de audio en Mp3 con Okoker Mp3 Splitter, y podrás disfrutar de ellos en tu móvil, enviarlos por correo electrónico, etc.


Descargar
Peso:6Mb

WinTime - Apaga tu Pc Automaticamente




WinTime es un programa que sirve para dos cosas: apagar el PC tras un tiempo concreto y para saber cuánto tiempo lleva encendido.

Es sencillo como pocos. No requiere instalación, simplemente descomprimir y ejecutar y lo único que puedes configurar es el tamaño y color de la letra del indicador de tiempo encendido ("uptime").


http://www.megaupload.com/?d=IH7M1PO1
Peso:1MB

El Libro Negro el Hacker

0 comentarios

Nota de Segu-Info: la mayoría de estos documentos se encuentran desactualizados y no se trata de una obra profesional pero pueden ofrecer interesante información sobre Seguridad a quienes comienzan en este mundo.

Obra digital equivalente a más de 1.000 páginas escritas.

Recorrido completo y profundo por el Mundo Hacker: su esencia, sus procedimientos y métodos, herramientas, programas y utilidades, con amplias explicaciones.

Los mejores escritos hacker en idioma Español.

Cómo defender su PC de “Ataques” externos, virus, troyanos, escaneo de puertos, aplicaciones perniciosas.

Cuatro discos llenos de información, utilidades, vínculos a páginas Web.

Contenido

Disco 1:

  • PRÓLOGO por “El Hacker Negro”
  • Medidas de Seguridad para su sistema de cómputo
  • INTRODUCCIÓN: El Hacker –Manual
  • Todo sobre la IP
  • Crackeando Webs
  • Qué es el “Sniffin”
  • Hackeando vía TELNET
  • Qué es el “Spoofing”
  • Cómo se hacen los VIRUS
Disco 2:
  • Amenazas en la Red
  • Ingeniería Inversa
  • Agujeros de seguridad informática
  • Entrar en Pc’s con recursos compartidos
  • Guía del CRACKER: manejo de ensamblador
  • Apodérate de ICQ
  • Cifrado de información
  • Cómo sacar la IP en IRC
  • Cómo liberarse de un troyano
  • Manual del IRC
  • Manual del Back Oriffice
  • Navegando anónimamente bajo Proxys
  • Crackeando sistemas
  • Identificación como Root
Disco 3: (Utilidades)
  • Descifrador de passwords PWL
  • Descifrador de asteriscos en passwords
  • Descifrando passwords del CMOS
  • Encripta tus archivos (programa Crypto)
  • Gran número de seriales de programas comerciales
  • Guía ligera del Hacker
  • IP AGENT
  • Lista completa de puertos de un sistema
  • OPTOUT2000: Detector de Intrusos (instálalo en tu sistema para comenzar-es Freeware).
  • Usa la “fuerza bruta” para adivinar claves en archivos ZIP
Disco 4: (Utilidades)
  • BIOS CRACKER: encuentra passwords de BIOS (por ejemplo, en portátiles)
  • Elimina los 30 días de los programas shareware
  • Monitorea tu Acceso Telefónico a Redes
Descargar Libro desde Segu-Info

Fuente: http://kat-black.blogspot.com/2008/12/el-libro-negro-el-hacker-aprende-todo.html

http://blog.segu-info.com.ar/2008/12/el-libro-negro-el-hacker.html

Hacking: Analiza sangre con un celular

0 comentarios
No todo es llamadas, mensajes de texto, música, fotos y video en los celulares, el Dr. Aydogan Ozcan es un investigador de la UCLA (Universidad de California) ha hackeado un celular Sony Ericsson convirtiéndolo en un poderoso e impresionante dispositivo que es usado para fines médicos, tanto así que es un probador portátil de análisis de células de la sangre que se colocan en una plataforma colocada junto al sensor de la cámara iluminada con una fuente de luz filtrada, lo que hace el aparato es que la fuente de luz expone cualidades únicas de las células, esos resultados los analiza el médico y determina que tiene la sangre.

Fuente:
http://www.elblogdealexs.com/analiza-sangre-con-un-celular-hackeado/
http://www.engadget.com/2008/12/21/cellphone-hacked-to-analyze-blood-detect-diseases-on-the-spot/

Análisis memoria RAM. Búsqueda de procesos I

0 comentarios
En todo análisis forense, se debe atender a un orden de volatilidad. Los datos contenidos en la memoria RAM y el archivo de paginación están en los primeros puestos de este orden. Por esto mismo, es por lo que muchas empresas que se dedican al forense informático, en muchas de sus variantes, deciden prescindir de investigar lo que hay en RAM, para dedicarse a otra información menos volátil, como por ejemplo el contenido del disco duro. El problema viene cuando sólo tenemos como pruebas un volcado de memoria (DUMP) o un archivo de paginación (pagefile.sys).

En este artículo y en el siguiente, haré mención a las herramientas que tenemos a día de hoy para analizar un volcado de memoria RAM (DUMP).

A día de hoy, pienso que la memoria RAM es de vital importancia en una investigación, ya que entre otras cosas, podremos encontrarnos con lo siguiente:

  • Procesos en ejecución
  • Procesos en fase de terminación
  • Conexiones activas (TCP-UDP)
  • Ficheros mapeados (Drivers, Ejecutables, Ficheros)
  • Objetos en caché (HTML,JavaScript,Passwords)
  • Elementos ocultos (Rootkits)

Como en toda investigación, la información que podamos recopilar depende de muchos factores, tales como el sistema operativo, el TimeLive de la máquina y lógicamente, el tamaño de la memoria RAM. Pongamos como ejemplo a Windows Vista y Windows XP. Windows Vista maneja de forma diferente los datos en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar tanto al disco duro, ya que el acceso a memoria RAM es mucho más rápido que el acceso a disco. Windows XP no carga tanto la RAM, y en cambio utiliza mucho más el archivo de paginación.

Dependiendo del sistema operativo tendremos más o menos herramientas para realizar búsquedas. En este artículo mostraré una para Windows 2000, y que se llama memparser.

Memparser es una herramienta creada a raíz de un reto forense y desarrollada por Chris Betz. Antes de desarrollar la herramienta en cuestión, tuvo que debuggear un kernel de un Windows 2000 SP4 para buscar similitudes, identificar estructuras, y analizar el código resultante del debugging.

Cada proceso en Windows 2000 es representado por un bloque ejecutivo de proceso (Executive Process). Cada bloque representa a un proceso y contiene estructuras y datos relacionados con ese objeto. En la memoria también residen los hilos que crean estos procesos (ETHREAD), tokens de acceso, Kernel Process (KPROCESS), el cual tiene información sobre el tanto por ciento del kernel utilizado por cada proceso, etc…

La herramienta en cuestión busca lo siguiente:

  • EPROCESS
  • Objetos de Kernel
  • Drivers
  • Contenido de memoria

De todas las herramientas que hay, esta es la más completa de todas, ya que podremos desde listar los procesos que hay en un volcado de memoria, hasta por ejemplo sacar el contenido de la memoria del ejecutable, y con el que podremos, por ejemplo, buscar posibles restos de malware.

En sucesivos artículos, repasaremos las diferentes opciones que tenemos para otros sistemas operativos.

Enlaces

Memparser (SourceForge)

Inside Microsoft Windows 2000 Third Edition

Fuente:

http://windowstips.wordpress.com/2008/04/08/analisis-memoria-ram-busqueda-de-procesos-i/

Ataque man-in-the-middle en Linux

1 comentarios

Puede que a algunos el ataque Man in the middle (o MitM) no les diga mucho pero es una de las herramientas básicas a la hora de conocer la información que fluye a lo largo y ancho de nuestra red local (o intranet).

A grosso modo lo que pretendemos es hacernos pasar por el router de nuestra red (por el que pasan todas las comunicaciones tanto externas como internas) y de este modo capturar las conversaciones que nuestros hermanos, compañeros de trabajo (si el administrador de red de la oficina es lo suficientemente malo como para no tomar las medidas oportunas) o el famoso vecino que nos robó la wifi (al no saber las consecuencias que esto le traería) están manteniendo.

Ya sabemos cómo obtener sus contraseñas, veamos ahora a qué dedican su tiempo libre y de qué hablan :)

Aunque pueda parecer extremadamente complejo no lo es en absoluto (esa es la ventaja de Internet: nos permite aprender a hacer cosas que antes ni habíamos soñado) bastando con lanzar un par de comandos.

Software necesario

En principio sólo necesitamos:

  • dsniff nos permitirá dirigir a nuestra máquina los paquetes direccionados al router
  • fragrouter para habilitar el enrutado (ip forwarding)

Para instalarlos sólo debemos visitar Synaptic o lanzar desde la terminal

apt-get install dsniff fragrouter

Puesta en marcha

Lanzamos en una terminal

sudo arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER

Donde

  • TARJETA_RED es la que utilizamos para conectarnos a la red (eth0, eth1, wlan0, …)
  • IP_VICTIMA la del equipo cuyas conversaciones queremos escuchar (puedes ver los equipos conectados actualmente a la red siguiendo los pasos que explicamos en su momento para detectar intrusos en la red)
  • IP_ROUTER puedes obtenerlo con un ifconfig en la terminal (recuerda que es la puerta de enlace)

En otra terminal lanza

fragrouter -B1

Capturar información de red

A partir de este momento todos los paquetes que envíe el equipo que estamos espiando (IP_VICTIMA) pasarán por nuestro equipo.

Basta utilizar cualquiera de las herramientas de sniffing: Wireshark, Ettercap, … para capturarlos y seleccionar aquellos que nos resulten de interés.

Esta receta se centra en cómo perpetrar el ataque en Linux, en próximas entregas, y en función de la aceptación del mismo explicaremos, entre otros:

  • cómo capturar los correos electrónicos
  • sesiones de chat
  • páginas web visitadas
  • etc…

Espero que el artículo haya sido de interés para el “piratilla” que todos llevamos dentro. Como colofón recordaros que la privacidad en las conversaciones es algo básico: ¡ojo con el uso que dais a esta información!


Fuente:

http://andalinux.wordpress.com/2008/09/04/ataque-man-in-the-middle/

Powered by Bad Robot
Helped by Blackubay