tag:blogger.com,1999:blog-26846014444163544322011-11-16T17:48:47.731+01:00Análisis forense de sistemas informáticos y respuesta ante incidentesneofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.comBlogger641100tag:blogger.com,1999:blog-2684601444416354432.post-48116596922593654802011-07-31T21:53:00.004+02:002011-08-14T19:07:51.958+02:00

Nada mejor para una tranquila tarde de domingo después de ver la Formula 1 y conseguir que se duerma la niña que jugar un poco con el registro de Windows y python. Sí, he dicho bién, con python y los ficheros que componen el registro de Windows. Hasta el momento, o al menos hasta donde yo conocía, era posible trabajar con el registro de Windows de un sistema online, ya fuera local o remoto,

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-246311260419215302011-07-07T22:44:00.003+02:002011-08-14T19:07:35.729+02:00

Después de acabar de resolver las cuestiones planteadas en el Network Forensic Contest #8 de SANS y como todavía me quedaban ganas decidí intentar programar algo, por eso de seguir dándole a python y ver si salía algo decente. El resultado no es una maravilla, pero al menos hace lo que pretendía y me ha servido para aprender un poco más. Si quieres descargarlo directamente puedes hacerlo desde

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-82322711565790344482011-07-05T20:39:00.024+02:002011-08-14T19:07:12.975+02:00

Para entretenerme un rato se me ocurrió ponerme con el último de los puzzles publicados en la web de SANS y hete que el entretenimiento me ha tenido liado varios dias e incluso algunas noches; como diría mi mujer - si es que tienes unos gustos mas raros. Sirva como introducción el texto del contest: tenemos al muy malo rodeado de muchos policías, pero con la imperiosa necesidad de comunicarse

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-64648252842397603742011-02-15T23:28:00.011+01:002011-07-05T19:13:33.623+02:00

Aprovechando el tirón que tuvo la serie en España me he decidido por este título ya que, a fín de cuentas, es lo que pretendo hacer: conseguir reanimar una imagen post mortem de un sistema Windows para iniciarla utilizando VMware.Seguro que muchos estais pensando que esto es muy fácil desde que existe Live View, pero para lo que yo quiero, simplemente no me sirve. Y os diré porqué.Resulta que no

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-77420016865390188382011-01-17T20:50:00.006+01:002011-07-05T19:14:20.794+02:00

Resulta obvio que la frecuencia de publicación ha bajado, por no decir cesado completamente, de unos meses hasta ahora; y es que mucho ha cambiado mi vida en este tiempo. El nacimiendo de mi hija Claudia, primer y principal condicionante, siendo el segundo haber superado mi obsesión maniaco/compulsiva por tener que publicar algo de forma periódica en el blog, perdiendo totalmente de vista el

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-51986508451317478182010-08-04T14:10:00.007+02:002011-07-05T19:14:50.218+02:00

En la búsqueda de procesos o drivers maliciosos ocultos cargados en memoria resultan de vital interés determinadas variables que contienen información relevante respecto al estado del kernel en el sistema en que Windows se está ejecutando. En este artículo y probablemente otro venidero descubriremos como acceder al contenido de estas variables, las estructuras que las contienen y algunas cosas

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-84886911324015834782010-05-30T20:23:00.003+02:002011-07-05T19:56:29.640+02:00

Ya hemos hablado aquí de WinFE, una distribución live de Windows Vista orientada principalmente al campo del computer forensics. Vamos a sacarle partido en estas líneas y desarrollar la forma de utilizarla para la adquisición de evidencias, clonado del sistema objetivo de análisis o imaging, que queda como más mejor.No estoy diciendo que sea mejor utilizar WinFE en lugar de los clásicos live-CD

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-85659598861835759272010-05-13T20:37:00.005+02:002011-08-14T19:06:40.425+02:00

Hoy se han publicado los resultados y podemos descargar tanto una solución de ejemplo como los informes enviados por los finalistas: Mario Pascucci (Italy)Tyler Hudak (USA)Carl Pulley (UK)En primer lugar felicitar a los ganadores. Por otra parte no estoy del todo descontento con mi puntuación personal ya que he conseguido el puesto 13 de entre 22 informes enviados y la satisfacción de haber

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-5210423211912422182010-05-10T21:37:00.008+02:002011-07-05T19:56:15.299+02:00

En la entrada anterior conseguimos extraer varios ficheros PDF desde el espacio de memoria del proceso AcroRd32. Uno de los documentos estaba cifrado y el otro contenía código javascript configurado para lanzarse de forma automática al abrir el fichero; y todo esto lo descubrimos gracias a Didier Stevens y su herramienta pdfid.Para que resulte más fácil seguir el relato, al final del mismo he

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-82587915430813960382010-05-04T19:38:00.010+02:002011-07-05T19:56:02.158+02:00

Continuando con el análisis de la imagen proporcionada como base para el Honeynet Forensic Challenge 2010/3, que iniciamos en la entrada anterior, comenzamos el segundo round.Y fué la duda y la sospecha el día segundoSegún el documento de S21Sec, "Detectando un ZeuS", uno de los muchos síntomas de infeccion consistiría en la existencia de determinados mutex en el sistema. Se trata de un tipo

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-11197870062694568052010-04-29T23:49:00.011+02:002011-07-05T19:55:48.476+02:00

En este caso la imagen utilizada es la del Honenynet Forensic Challenge 2010/3, al que he presentado mi solución, y que ganar no ganaré, ni de coña vamos, pero que me ha servido para aprender mucho y de paso quitarme algunos miedos.La historia, "Banking Troubles", es simple: usuario X de la empresa Y recibe un correo de un compañero apuntando a un fichero PDF el cual abre. Nada destacable hasta

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-14788278717522981632010-04-19T20:53:00.006+02:002011-07-05T19:55:36.203+02:00

Siempre intento, al menos dentro de mis posibilidades, publicar entradas técnicas e ir tratando de superarme a mí mismo forzándome a estudiar y estudiar antes siquiera de pensar en escribir algo; y esa es la causa de que el blog esté tan parado últimamente.Entre la falta de tiempo motivada por compromisos, trabajo y vida social, la cual intento mantener a buén ritmo por el bién de mi salud mental

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-22085466198155554062010-03-24T23:06:00.008+01:002011-07-05T19:55:26.648+02:00

Ya hace varios días que terminó la primera rootedcon a la que tuve la suerte de poder asistir. Grande ha sido la repercusión la cual puede comprobarse por las incontables menciones a la misma en todo tipo de medios de comunicación.Pero en esta entrada no hablaré de lo interesantes que fueron para mí la mayoría de las charlas, la extraordinaria capacidad técnica de los ponentes, ni la increible

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-32437098711244206782010-03-04T22:23:00.007+01:002011-08-14T19:06:12.724+02:00

No son pocas las distribuciones de Linux orientadas al análisis forense que se distribuyen en forma de Live-CD: Helix, DEFT o FIRE son sólo algunos ejemplos. Sin embargo no es menos cierto que no todos los usuarios se sienten cómodos con el sistema operativo del pingüino. Si a lo anterior le sumamos lo difícil que resulta en ocasiones pelear con el hardware de última hornada para hacerlo

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-77242275118431268042010-02-22T00:01:00.029+01:002011-08-14T19:05:57.589+02:00

Las hay más llenas o más vacías, conteniendo cosas banales o secretos de estado, pero lo que todos los sistemas Windows tienen en común al respecto, es que todos tienen una. En esta ocasión hablaré de Windows Vista y 7, porque de los anteriores ya se sabe bastante. Lo primero es lo primero y el mérito en este caso corresponde a Mitchell Machor, autor del primer análisis en su documento "The

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-26062729557528273482010-02-11T20:05:00.017+01:002011-07-05T19:54:42.299+02:00

Hoy mismo me acaba de llegar un detalle de los organizadores del congreso por ser uno de los 100 primeros en asegurarse una plaza como asistente. No tengo ninguna experiencia en cuanto a este tipo de eventos, pero estoy seguro que va a cumplir todas mis expectativas, y con creces.Y tú, ¿también vas a ir a la primera /Rooted Con?

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com5tag:blogger.com,1999:blog-2684601444416354432.post-47135676236549384402010-01-27T00:03:00.013+01:002011-08-14T19:05:31.455+02:00

Andaba reorganizando el disco duro de mi portátil, que como a base de discos he aprendido, el tamaño que ocupa el material que pretendo almacenar siempre es superior a la partición destinada a tal efecto. En esas me hallaba cuando me encontré un directorio olvidado conteniendo volcados de memoria; cansado como estaba de andar buceando entre papers, manuales, herramientas y demás ficheros

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com7tag:blogger.com,1999:blog-2684601444416354432.post-72513513939198296662010-01-03T22:05:00.002+01:002011-07-05T19:54:10.176+02:00

Parece que el ocaso del 2009 y comienzo del 2010 auguran buenos tiempos en lo referente al análisis forense de sistemas, y he pensado que sería útil disponer de una especie de recopilatorio para todas estas novedades, al menos para todas de las que personalmente tengo constancia.Un nuevo magazine, IntoTheBoxes, gracias al esfuerzo realizado por Harlan Carvey y Don C. Weber. Su primera edición, ya

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-45310453278707686482009-12-13T17:44:00.008+01:002011-08-14T19:04:58.609+02:00

De paseo por la blogosfera orientada al análisis de la (in)seguridad de los sistemas informáticos un artículo en pentester.es confirma mis sospechas de que no existe una única forma de hacer la misma cosa o, expresado en lenguaje más popular, que todos los caminos conducen a Roma. En este caso el detonante es la web del instituto SANS para los cursos de análisis forense de capturas de red y más

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-82911027971819648912009-12-08T23:47:00.007+01:002011-08-14T19:04:34.716+02:00

Pues resulta que andaba yo revisando uno de los PCs traídos de un cliente para ser reparado en taller, y tal como tengo por costumbre, y por eso de ir aprendiendo, me disponía a utilizar windd para volcar la memoria del sistema en un fichero. En esas me encontraba cuando apareció por allí mi compañero, una grandísima persona y aún mejor administrador de sistemas Linux, interesándose por mis

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com11tag:blogger.com,1999:blog-2684601444416354432.post-11870088818228632402009-11-17T23:50:00.020+01:002011-08-14T19:04:14.480+02:00

Toda esta historia comenzó hace un par de días, en una de las visitas rutinarias de mantenimiento a empresas que realizo como técnico informático. Configurando la copia de seguridad para el fichero pst, utilizado como almacén del correo electrónico por MS Outlook, me disponía a modificar el comportamiento predeterminado del explorador de Windows para que me mostrase los ficheros ocultos, y hete

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com5tag:blogger.com,1999:blog-2684601444416354432.post-64569421427020767632009-10-27T20:22:00.004+01:002009-10-27T20:27:27.592+01:00

Vía echo6 me entero de la noticia. Parece que después de un intenso trabajo de desarrollo ya tenemos una nueva versión estable del framework para el análisis de volcados de memoria de sistemas Windows.Si somos realmente intrépidos podremos descargar la rama de desarrollo utilizando subversion desde el sitio en Google Code. En cualquier caso seguro que estarán encantados de que informemos sobre

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-47942475710392279962009-10-22T20:38:00.015+02:002011-07-05T19:33:19.947+02:00

Parece que olvidé extraer de la máquina virtual infectada los ficheros con la traza del malware, léase el log de Process Monitor (Logfile.PML) y la captura de Wireshark (malware.pcap). No repetiré aquí como montar el disco creado por Vmware Server, en todo caso siempre puedo consultar mis notas. Después de advertir el tamaño del log de Process Monitor (casi 92MB), advierto que las pistas

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-51270857417528582012009-10-12T10:29:00.015+02:002011-07-05T19:33:01.230+02:00

Continuando por donde lo dejé llega el momento de la infección, autoinfección o como quiera que deba llamársele, que al final el resultado va a ser el mismo. Ya tengo todo lo que necesito en el directorio C:\analisis, incluyendo el programa fileverifier++ (C:\analisis\fv), regshot (C:\analisis\regshot) y las utilidades de sysinternals que he escogido para estas labores (C:\analisis\sysinternals).

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-64836458552632661952009-10-02T00:10:00.008+02:002011-08-14T19:03:58.574+02:00

Siempre había querido escribir un diario, solo que nunca pense que tendría algo que contar. Quizás realmente siga sin tener nada interesante que escribir, pero lo cierto es que un día tenía que ser el primero, y éste es tan bueno para ello como podría serlo cualquier otro. Lo mejor será que empiece por el principio, y el principio fué hace algunas semanas, en casa de un buén amigo. Supongo que

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com17tag:blogger.com,1999:blog-2684601444416354432.post-59398422160936176622009-09-13T22:18:00.004+02:002009-09-21T23:25:21.944+02:00

Interesantes lecturas acerca de malware. Primero desde la web de hakin9 hay disponible para descarga un número especial, "Hakin9 best of", completamente gratuito previa suscripción al boletín de noticias. Tres artículos dedicados al análisis de malware de la mano de Jason Carpenter, además de otras lecturas no menos recomendables.Por último, y ahora de la mano de Wesley McGrew, una presentación

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-49977723964603014762009-08-24T00:24:00.013+02:002011-08-14T19:03:39.883+02:00

Parece que rompí la promesa y ahora mismo estoy de vacaciones sentado delante de mi teclado. El motivo, pensar un poco en el tiempo, más concretamente, en la importancia de las líneas de tiempo, (a.k.a. timeline). Una timeline sería un diagrama cronológico donde cada uno de los registros se correspondería con un evento determinado. Para el caso del análisis forense de sistemas existen una serie

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-24684710394740024032009-08-09T18:59:00.013+02:002011-08-14T19:03:09.527+02:00

Para luchar con el calor no hay nada como ponerse delante del ordenador (modo irónico), pero como que también es una forma de distraerse y todavía no estoy de vacaciones, con la consecuente promesa de "lo más cerca de un PC 30 mts", pues allá que me he puesto. Surgida después de una charla entre Rob Lee (el que tuvo la idea) y Harlan Carvey (el que la llevó a la práctica) nació esta potente

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-65964897803260151202009-07-19T21:17:00.019+02:002011-07-05T19:31:16.868+02:00

Pues nada, un lista de herramientas, muy específicas, pero que pueden resultar de gran ayuda tanto si practicamos como si tan solo tratamos de aprender un poquito.DCodeEsta pequeña utilidad gráfica nos permitirá decodificar marcas de tiempo en diferentes formatos, como, por ejemplo, los valores hexadecimales que podemos encontrar embebidos en los ficheros del registro de windows.Supongamos que

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-6761779762102718242009-07-02T23:42:00.008+02:002011-07-05T19:30:17.049+02:00

Animado por la presentación de Andreas Schuster, y "copiando" una de las modificaciones sugeridas vamos a empezar a pegarnos con los fuentes.Lo primero, desde mi ubuntu, descargo la última versión disponible mediante SVN, instalando para ello el cliente CVS subversion:$ apt-get install subversion$ cd /usr/local$ svn checkout http://volatility.googlecode.com/svn/trunk/ volatility-read-onlyComo

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-9470473284307704962009-07-02T22:35:00.009+02:002009-07-08T18:57:24.825+02:00

A nadie que ande medio interesado por este mundillo le resultará desconocido el señor Andreas Schuster, creador de ptfinder, entre otras, y varios plugins de volatility. Enfocado principalmente en el análisis de la memoria de sistemas Windows, en cada uno de los mensajes de su blog destila saber hacer y, lo que para mí es más difícil, consigue hacer entender.Pues bién, via blog de Moyix, me

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-44238069295264662342009-06-27T17:38:00.008+02:002011-08-14T19:02:40.735+02:00

Ya todos conocemos, o al menos deberíamos, a Cygwin. Me cito a mí mismo: "Es algo así como un traductor, de forma que todas las llamadas del API de Linux son trasladadas y ejecutadas como llamadas del API de Windows. El componente principal lo conforma la libreria cygwin1.dll, la cual es responsable de proporcionar dicha traducción y, por lo tanto, permitir la ejecución de programas Linux en un

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-46728400508352566632009-06-22T00:07:00.011+02:002011-08-14T19:02:10.308+02:00

Animado por Pedro Sanchez, y en respuesta a su caja de herramientas para Windows, se me ocurrió probar una alternativa a las funcionalidades de Encase para sistemas Linux, y hete aquí que le ha tocado el turno a PyFlag. Para utilizar PyFlag necesitaremos varios paquetes, la mayoría interesantes herramientas por sí mismas. En este artículo comenzaremos con el proceso de instalación de todas ellas

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-20275591485821019562009-05-26T00:13:00.005+02:002011-07-05T19:28:44.146+02:00

Varias releases y noticias sobre malware, que parece que vienen todas juntas.Si hace apenas unos días comentábamos la aparición de un módulo de python que permitía debuggear aplicaciones win32 bajo Windows, esta misma tarde me encuentro gratas noticias a través del blog de Michale Hale Ligh. Autor del plugin malfind.py para el framework Volatility, es, sin duda, toda una autoridad en el campo del

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-71536431548594920622009-05-24T20:07:00.006+02:002011-08-14T19:00:54.807+02:00

Via blog de Moyix descubro un interesante y completo material relativo a la estructura, contenido y recuperación de fragmentos del registro de Windows. Se trata de la master thesis de Peter Norris, "The Internal Structure of the Windows Registry", y el material está disponible para descarga desde la siguiente dirección. ¡A leer toca!

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-6238356199268463672009-05-20T22:41:00.005+02:002011-07-05T19:28:09.104+02:00

Esta vez prometo no dejarme llevar por mi pluma, ¿o debería decir mejor mi teclado?, y en esta entrada únicamente me haré eco de la release de un módulo de python a priori bastante interesante.Se tata de winAppDbg y su mayor atractivo es la posibilidad de utilizarlo en nuestros propios scripts para implementar tareas de debugging de aplicaciones win32. ¿Resultará interesante como 'framework' para

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-76407187069910265962009-05-09T01:15:00.009+02:002011-07-05T19:27:45.065+02:00

Esperemos romper con el tópico de que nunca segundas partes fueron buenas ...Parece que le estoy pillando el gusto a esto del análisis de la memoria. Y gracias que existe gente como Hogfly, el cual pone a disposición de cualquier interesado volcados de la memoria física de sistemas ejecutando malware. Así podré jugar un rato a ver si aprendo algo.La luz que entraba por la ventana presagiaba una

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-31192068549189352032009-04-13T22:29:00.008+02:002011-07-05T19:27:18.230+02:00

Sin duda uno de los programas open source más utilizados y nombrados en el mundo del análisis forense sea el binario dd. Esta pequeña utilidad nos vá a permitir realizar un duplicado exacto bit a bit de un medio de almacenamiento cualquiera. A lo largo de este artículo vamos a analizar las funcionalidades que nos ofrece y veremos algunos trucos básicos que pueden resultarnos de

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com10tag:blogger.com,1999:blog-2684601444416354432.post-76014659677117339072009-04-02T23:00:00.012+02:002011-08-14T19:01:27.531+02:00

No cabe duda que en los últimos tiempos el navegador Mozilla Firefox está arrebatando gran parte de la cuota de mercado al hasta ahora omnipresente Internet Explorer. No voy a entrar a valorar los motivos de esta rápida ascensión, al igual que no voy a discutir acerca de la seguridad que acredita éste o aquel; baste subrayar que, desde mi punto de vista y como sucede con todo, cada uno tiene sus

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-58331504899415096602009-03-22T15:12:00.017+01:002011-08-14T19:00:30.574+02:00

Todos los personajes, lugares, acciones y conversaciones narradas a continuación no son reales, existen o han tenido lugar en otro sitio que no sea la imaginación del que suscribe estas líneas, el cual no se siente responsable de las opiniones, reacciones o ideas vertidas, pues, a fín de cuentas, suceden únicamente en su ficción, ¿o tal vez no? Tengo un mal presentimiento No puedo explicar

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com13tag:blogger.com,1999:blog-2684601444416354432.post-58764277652183774042009-03-18T11:50:00.005+01:002011-07-05T19:26:08.231+02:00

Ya todos conocemos el framework Volatility, un potentísima herramienta que permite el análisis de volcados de memoria de sistemas Windows XP (32bits) Service Pack 2 y 3. También sabemos de la existencia de numerosos plugins que extienden su funcionalidad añadiéndole nuevas y potentes características.Pues bién, de eso trata este artículo, de los plugins disponibles y el proceso de instalación de

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-30989948190162643102009-03-08T22:20:00.011+01:002011-08-14T19:00:09.200+02:00

En la última entrada vimos como en este momento ya es posible ejecutar Volatility y RegRipper de forma combinada, permitiendo así obtener gran cantidad de información relacionada con las claves del registro cargadas en memoria. Ha llegado el momento de analizar la funcionalidad ofrecida por RegRipper como herramienta independiente. Esta herramienta, desarrollada por Harlan Carvey, permite

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-89829036476312652822009-03-02T22:58:00.013+01:002011-08-14T18:59:53.839+02:00

Acabo de enterarme hoy de la noticia, y como no, tenía que probarlo por mí mismo. Creo que conocemos de sobra el framework Volatility, pero para los que no lo conozcan decir que se trata de un entorno de análisis escrito en Python que permite examinar volcados de la memoria de Windows en formato raw. El otro componente del tándem es RegRipper, del que todavía no hemos hablado nada pero del que

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-54912095882014723952009-02-23T23:21:00.007+01:002011-07-05T19:24:26.956+02:00

El sistema de ficheros /proc de Linux no es un sistema de ficheros normal. En su lugar se trata de un sistema de ficheros virtual, de forma que todo su contenido no existe físicamente en el disco, sino que habita únicamente en la memoria RAM del sistema.A lo largo de las siguientes líneas vamos a analizar su contenido centrándonos básicamente en los ficheros y directorios que puedan ser de

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-11117510457203548762009-02-17T21:09:00.008+01:002011-08-14T18:59:17.720+02:00

A raíz de este hilo, desarrollado en las tierras de Wadalbertia, renació mi interés por una herramienta que llevaba algún tiempo en mi lista de "juegos", PTK. Se trata de una interfaz web para el uso de los binarios que conforman el sleuthkit. Y quizás algunos os preguntaréis, ¿qué necesidad había si esa funcionalidad ya estaba cubierta por autopsy? Eso mismo era lo que yo me preguntaba, pero

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com7tag:blogger.com,1999:blog-2684601444416354432.post-1802233148240504902009-02-08T19:40:00.013+01:002011-08-14T18:59:02.518+02:00

Segun la definición del dfrws2006 el data carving sería: "el proceso de extraer una serie de datos de un gran conjunto de datos. La técnica de data carving se utiliza habitualmente durante una investigación digital cuando se analiza el espacio no ubicado de un sistema de ficheros para extraer archivos. Los archivos son 'desenterrados' del espacio no ubicado utilizando valores para las cabeceras

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-77168248129515812372009-01-24T00:30:00.014+01:002011-08-14T18:58:33.695+02:00

La clave UserAssist del registro de Windows contiene valiosa información que nos ayudará a desvelar gran parte de las acciones realizadas por un usuario en el sistema. Dicha clave es particular para cada cuenta por lo que los datos almacenados serán diferentes en función del usuario que haya iniciado la sesión. Hasta el momento los datos almacenados se encontraban cifrados, utilizando para ello

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-46008720906051288472009-01-15T23:13:00.009+01:002011-08-14T18:58:16.036+02:00

No hace mucho que analizamos el uso de las "Volume Shadow Copy" en Windows Vista y sus implicaciones relativas al análisis forense de sistemas. Bién, pues ahora analizaremos la funcionalidad "Restaurar sistema" implementada en Windows XP. La herramienta es accesible desde el entorno gráfico accediendo al menú Inicio, Programas, Accesorios, Herramientas del sistema, Restaurar sistema o desde

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-78569049906669875692009-01-12T00:16:00.003+01:002011-07-05T19:21:54.599+02:00

Esto es más que un offtopic, pero me apetece escribir, y sin duda éste es un tema tan bueno como cualquier otro para ello.Cuando empecé a escibir mi propio blog llevaba ya algún tiempo planteándomelo, pero no pensaba, y desde luego en muchas ocaciones sigo haciéndolo, estar lo suficientemente capacitado para ello. He puesto mucha ilusión en él y, quizás de forma egoista, la principal razón, y la

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com6tag:blogger.com,1999:blog-2684601444416354432.post-17988339653091036272009-01-08T21:28:00.007+01:002011-08-14T18:57:16.295+02:00

Matthieu Suiche ha liberado hace algunos días una nueva versión de su magnífica herramienta, win32dd, la cual permite realizar volcados de la memoria física de sistemas Windows. Las principales modificaciones afectan a los problemas relacionados con el uso de win32dd en sistemas con varios procesadores, tal y como él mismo expuso en su momento. Ahora ha pasado de soportar un único procesador

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-70099804960988500632009-01-05T01:02:00.014+01:002011-08-14T18:57:57.564+02:00

NOTA: Este articulo esta basado enteramente en "VISTA Shadow Volume Forensics", una de las entradas publicadas en el blog de analisis forense de SANS. Se trata de un servicio, habilitado por defecto con la instalación predeterminada de Windows Vista, y que constituye la base para su sistema de disaster recovery. Dicho sistema se basa en la creación, ya sea de forma manual o automática, de copias

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-11950646329271557082008-12-23T23:38:00.005+01:002011-08-14T18:54:42.235+02:00

Vía blog de Matthieu Suiche me entero de que acaba de liberar una nueva herramienta, SandManShell. Tal y como anunciaba en la primera parte de su articulo se trataría de una shell interactiva que, utilizando el framework Sandman, desarrollado por él mismo, permitiría realizar un profundo análisis del fichero de hibernación, hiberfil.sys, o de un fichero de crash dump de Windows, en principio

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-77517647955823642192008-12-21T22:52:00.014+01:002011-08-15T22:49:02.719+02:00

Una de sus utilidades, que ya mencioné en una entrada anterior, es la de volcar el contenido de la memoria física en un fichero con formato raw, de forma que ésta pueda ser analizada con posterioridad. Por otra parte también puede realizarse el análisis de un sistema en ejecución, previa instalación del programa en el sistema objeto del análisis. Según sus creadores, Memorize soporta los

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-68547837166326687642008-12-15T22:36:00.009+01:002011-08-14T18:56:00.278+02:00

Prácticamente acabo de terminar de programar una herramienta, mfinder, que permite listar los procesos encontrados durante el análisis de un fichero de volcado de la memoria física de un sistema Windows 2000. Está basada en PTfinder, un script de perl desarrollado por Andreas Schuster y que, además de ejecutarse mucho más rapido, admite más opciones. Por supuesto, para adaptar el algoritmo

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com2tag:blogger.com,1999:blog-2684601444416354432.post-80510422176049947712008-12-09T20:43:00.004+01:002011-07-05T19:18:49.128+02:00

Navegando por la red he encontrado algunos documentos muy interesantes que me gustaría compartir con todos vosotros. Son de temática variada pero predominan aquellos relacionados con el análisis de la memoria de los sistemas Windows, tema que espero poder tratar en breve.En rootkit.com acaban de publicar un artículo, Interrupt Descriptor table explained, en el cual se analiza el formato interno

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-43093649453815434902008-11-30T22:58:00.016+01:002011-08-14T18:55:43.843+02:00

DKOM (Direct Kernel Object Manipulation) es una técnica que, basándose en el acceso al espacio de memoria del kernel, nos vá a permitir modificar el estado de los objetos del sistema. En concreto, nos vá a permitir: Ocultar procesos, drivers o puertos.Elevar el nivel de privilegio de un hilo y por tanto del proceso al que pertenece.Dificultar el análisis forense del sistema. En esta entrada vamos

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com3tag:blogger.com,1999:blog-2684601444416354432.post-14088726498008051042008-11-22T15:19:00.018+01:002011-07-05T19:18:10.786+02:00

Voy a retomar el argumento de la primera entrada para centrarme, en este caso, en el objeto _EPROCESS (bloque ejecutivo de proceso) manejado por el kernel del sistema. Tal y como mencioné, se trata de la forma que tiene Windows de agrupar toda la información y recursos necesarios asociados con un proceso.Analizaremos, utilizando la herramienta WinDbg la cual se incluye con las Microsoft Debugging

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-73810538241517947482008-11-12T20:49:00.018+01:002011-08-14T18:55:26.967+02:00

En este artículo vamos a dar un breve repaso a los diferentes métodos que existen actualmente para, mediante recursos software, obtener volcados de la memoria física en sistemas Windows. En una futura entrada veremos las herramientas disponibles para analizar cada uno de los tipos de volcados obtenidos. BSoD (Blue Screen of Death) El primero de los métodos que voy a analizar se basa en las

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com4tag:blogger.com,1999:blog-2684601444416354432.post-6459524547734623382008-11-05T22:32:00.014+01:002011-08-14T18:51:55.208+02:00

Live View es una herramienta utilísima, con un interfaz gráfico basado en java. Nos permite, a partir de una imagen en formato raw (un fichero obtenido mediante dd, por ejemplo), crear los ficheros de configuración necesarios para arrancar el sistema contenido en la imagen como una máquina virtual de vmware. En concreto soporta los siguientes formatos:Imágenes raw de discos completosImágenes

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com5tag:blogger.com,1999:blog-2684601444416354432.post-26825817074221518782008-10-22T21:32:00.021+02:002011-08-14T18:51:36.155+02:00

Ahora que ya conocemos un poco más el funcionamiento interno de los procesos en Windows y como guía durante un análisis en caliente de un sistema, acotaremos los datos más importantes a obtener para cada uno de ellos. PID, o identificador unívoco para el proceso y que maneja el kernel de Windows. Ruta absoluta así como el nombre del fichero ejecutable cuya ejecución ha derivado en un proceso.

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com5tag:blogger.com,1999:blog-2684601444416354432.post-35832278849287403742008-10-15T21:14:00.016+02:002011-08-15T22:45:33.364+02:00

Podemos definir un proceso como una instancia para un programa en ejecución, e instancia es la palabra adecuada dado que, como la mayoría de elementos en Windows, para el kernel o núcleo del sistema un proceso no es más que un tipo de objeto determinado. Aunque parezcan similares debemos distinguir de forma clara las diferencias existentes entre un proceso y un programa: Un programa es una

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1tag:blogger.com,1999:blog-2684601444416354432.post-70963240071400813752008-10-14T20:39:00.005+02:002011-08-14T18:55:02.411+02:00

Relacionado con el análisis online, también conocido como análisis en caliente, de un sistema Windows estaría la capacidad de listado de los procesos en ejecución. Como soy de natural curioso, con unos pocos (muy pocos) conocimientos de programación y un poco de corto, pego y arreglo código de internet (básicamente de la MSDN) he desarrollado un programa muy simple que permite obtener el listado

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-33542279279261582802008-10-14T20:36:00.010+02:002011-08-15T22:43:01.543+02:00

Después de algún tiempo sin actualizarla e-fense acaba de liberar la versión 2 (2008 Release 1) de este famoso LiveCD indicado para las siguientes áreas: Incident ResponseElectronic DiscoveryComputer Forensic En el sitio oficial hay disponible una ISO de 702 MB que, una vez tostada, y como en sus anteriores versiones, dispone de 2 métodos de arranque. El primero, y que puede iniciarse desde una

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com0tag:blogger.com,1999:blog-2684601444416354432.post-21916291004297608612008-10-14T20:34:00.000+02:002008-10-14T20:35:02.675+02:00

Bueno, por fín me he decidido a escribir en mi propio blog. Trataré de incluir en él de forma más o menos periódica cualquier nuevo descubrimiento, noticia o experimento relacionado principalmente con el análisis forense digital y la respuesta ante incidentes.Cualquier aporte y/o sugerencia será bienvenido, sobre todo teniendo en cuenta que estamos aquí para aprender, y desde luego yo el primero.

neofitohttp://www.blogger.com/profile/11105475045229573778noreply@blogger.com1