domingo, 31 de julio de 2011

Jugando con python-registry

Nada mejor para una tranquila tarde de domingo después de ver la Formula 1 y conseguir que se duerma la niña que jugar un poco con el registro de Windows y python. Sí, he dicho bién, con python y los ficheros que componen el registro de Windows.

Hasta el momento, o al menos hasta donde yo conocía, era posible trabajar con el registro de Windows de un sistema online, ya fuera local o remoto, utilizando el modulo _winreg, o winreg si se trataba de python 3.0. Pero, ¿y si la máquina en cuestión era un sistema offline objeto de un análisis forense?

Leer más...

jueves, 7 de julio de 2011

Windows, python y los ficheros pcap

Después de acabar de resolver las cuestiones planteadas en el Network Forensic Contest #8 de SANS y como todavía me quedaban ganas decidí intentar programar algo, por eso de seguir dándole a python y ver si salía algo decente. El resultado no es una maravilla, pero al menos hace lo que pretendía y me ha servido para aprender un poco más. Si quieres descargarlo directamente puedes hacerlo desde aquí.

El script lo desarrollé en Ubuntu utilizando Eclipse, Pylint, un repositorio bazaar privado y, como no, mi compañero Hilario, pero una vez terminado me encabezoné con utilizarlo en Windows y lo que sigue en estas líneas es un resumen de mis andanzas. Antes de empezar resaltar que el proceso es tal cual siempre que el sistema operativo sea de 32 bits; con x64 no he conseguido que me funcione :(

Leer más...

martes, 5 de julio de 2011

Análisis forense de capturas de red

Para entretenerme un rato se me ocurrió ponerme con el último de los puzzles publicados en la web de SANS y hete que el entretenimiento me ha tenido liado varios dias e incluso algunas noches; como diría mi mujer - si es que tienes unos gustos mas raros.

Sirva como introducción el texto del contest: tenemos al muy malo rodeado de muchos policías, pero con la imperiosa necesidad de comunicarse con otros malos. Como este malo es un tío listo detecta un punto de acceso vecino ideal para sus propósitos. Mientras tanto, el admin de la red donde se ubica este AP empieza a notar que la cosa no va fina y decide obtener una captura del tráfico. Y ahora llegamos nosotros, los buenos, con la tarea de contestar una serie de preguntas partiendo de la captura obtenida por el admin.

Leer más...