domingo, 31 de julio de 2011

Jugando con python-registry

Nada mejor para una tranquila tarde de domingo después de ver la Formula 1 y conseguir que se duerma la niña que jugar un poco con el registro de Windows y python. Sí, he dicho bién, con python y los ficheros que componen el registro de Windows.

Hasta el momento, o al menos hasta donde yo conocía, era posible trabajar con el registro de Windows de un sistema online, ya fuera local o remoto, utilizando el modulo _winreg, o winreg si se trataba de python 3.0. Pero, ¿y si la máquina en cuestión era un sistema offline objeto de un análisis forense?

Leer más...

jueves, 7 de julio de 2011

Windows, python y los ficheros pcap

Después de acabar de resolver las cuestiones planteadas en el Network Forensic Contest #8 de SANS y como todavía me quedaban ganas decidí intentar programar algo, por eso de seguir dándole a python y ver si salía algo decente. El resultado no es una maravilla, pero al menos hace lo que pretendía y me ha servido para aprender un poco más. Si quieres descargarlo directamente puedes hacerlo desde aquí.

El script lo desarrollé en Ubuntu utilizando Eclipse, Pylint, un repositorio bazaar privado y, como no, mi compañero Hilario, pero una vez terminado me encabezoné con utilizarlo en Windows y lo que sigue en estas líneas es un resumen de mis andanzas. Antes de empezar resaltar que el proceso es tal cual siempre que el sistema operativo sea de 32 bits; con x64 no he conseguido que me funcione :(

Leer más...

martes, 5 de julio de 2011

Análisis forense de capturas de red

Para entretenerme un rato se me ocurrió ponerme con el último de los puzzles publicados en la web de SANS y hete que el entretenimiento me ha tenido liado varios dias e incluso algunas noches; como diría mi mujer - si es que tienes unos gustos mas raros.

Sirva como introducción el texto del contest: tenemos al muy malo rodeado de muchos policías, pero con la imperiosa necesidad de comunicarse con otros malos. Como este malo es un tío listo detecta un punto de acceso vecino ideal para sus propósitos. Mientras tanto, el admin de la red donde se ubica este AP empieza a notar que la cosa no va fina y decide obtener una captura del tráfico. Y ahora llegamos nosotros, los buenos, con la tarea de contestar una serie de preguntas partiendo de la captura obtenida por el admin.

Leer más...

martes, 15 de febrero de 2011

The Walking Dead (OS Version)

Aprovechando el tirón que tuvo la serie en España me he decidido por este título ya que, a fín de cuentas, es lo que pretendo hacer: conseguir reanimar una imagen post mortem de un sistema Windows para iniciarla utilizando VMware.

Seguro que muchos estais pensando que esto es muy fácil desde que existe Live View, pero para lo que yo quiero, simplemente no me sirve. Y os diré porqué.

Resulta que no son pocos los sistemas que caen en mis manos llenitos hasta arriba de todo tipo de fauna y flora, tal que parece les pongan un felpudito de esos de "¡Bienvenido, estas en tu casa!". Resulta también que como siempre prima la pela, y esto implica formatear, parchear y devolver en tiempo record, sin poder meterles mano como a mi me gustaría.

Para estos casos, y previo consentimiento del dueño del equipo, suelo hacer una imagen dd del disco de sistema utilizando, por ejemplo, el proceso aquí descrito. Y ahora llega el momento de la verdad, ¿cómo la ejecuto para jugar con ella?

Leer más...

lunes, 17 de enero de 2011

Un paseo por la memoria

Resulta obvio que la frecuencia de publicación ha bajado, por no decir cesado completamente, de unos meses hasta ahora; y es que mucho ha cambiado mi vida en este tiempo. El nacimiendo de mi hija Claudia, primer y principal condicionante, siendo el segundo haber superado mi obsesión maniaco/compulsiva por tener que publicar algo de forma periódica en el blog, perdiendo totalmente de vista el motivo que me llevó a crearlo: disfrutar aprendiendo y contando lo que aprendo.

Sirva esto y mi promesa como declaración de intenciones para decir que este proyecto no está ni mucho menos muerto y que, en la medida de lo posible, seguiré publicando.

Leer más...