DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 23 de septiembre de 2008

Montaje de imagenes de discos

En los análisis forenses, hay una técnica muy comun que consiste en analizar la estructura de directorios de un sistema de ficheros, para ello existen variadas herramientas, entre ellas destaco 'mount image pro' (http://www.mountimage.com/) un software comercial que permite crear una carpeta virtual con el contenido del disco. Otra del estilo en modo comando pero de código abierto es 'filedisk' y se puede descargar desde aquí.

La utilización de filedisk es muy simple, basta con poner el siguiente comando:
c:\>filedisk>filedisk /mount  0 c:\imagenes\imagen_de_windows_XP.img f:

Una vez montado el sistema de ficheros, se puede acceder con el explorer a la unidad virtual F:

C:\>dir f:
Volume in drive F is FILEDISK
Volume Serial Number is 28DF-0C81

Directory of F:\

File Not Found



lunes, 22 de septiembre de 2008

Pornografia infantil

¿Y tu me amenazas?, no me conoces, cabrón!!

Jilipollas, te queda 1 hora...o menos

¡¡ Mira quien llama a tu puerta!!. Para mi es el ejercito de salvación, para ti la inquisición

Parece que tu pena, tu amor infantil, tus 'dulces recuerdos' y tus entradas en tu blog...finalizaron

Tus direcciones Ip's..
Tus proxy's anonimos
Las fotos de tus 'niños' y tus fotos?
Tus cifrados?
Tu anonimo?
Tu P2P
y lo mas lamentable ...tus correos!! y tu PC!!

Adios

Ojala te pudras en la carcel!!

P.D.:

Que te jodan!!

Uno Menos!! y uno más para cazar....

jueves, 4 de septiembre de 2008

Me compre una XBOX 360

Po zi....

Fui a preguntar y acabe comprando una Xbox 360, después de pensármelo bien y hablar con diferentes expertos (frikis) he ido desechando la playstation y caí en la tentación. (Calidad - precio). Ya se que es de Micro$oft, pero me gusta.

Os dejo la fotico

martes, 2 de septiembre de 2008

Obtención de imágenes en un análisis forense

El genio y figura 'Ovie Carroll' en una presentación de análisis forense sobre Windows vista, explico la forma de obtener y/o recuperar información de imágenes utilizando las miniaturas (thumbnails).

Las miniaturas son versiones de imágenes en tamaño reducido , que sirve para hacer más fácil al usuario el ver y reconocer una imagen o el contenido de una carpeta de imágenes. La mayoría de los sistemas operativos o entornos de escritorio, como Microsoft Windows, Mac OS X, KDE y GNOME lo previsualizan.

Cuando se copia por ejemplo el contenido de unas imágenes a una carpeta con windows vista, se genera un índice de las imágenes y se crea las miniaturas en el fichero thumbs.db. Aun borrando las imágenes reales, siempre se podrá saber que imágenes contenía el directorio o carpeta.

Para hacer más sencilla la vida, vamos a utilizar la herramienta de 'Ovie carrol' que se encuentra aquí

Este programa no sólo va a clasificar por fechas y leer la thumbcache ,sino que también va a crear un agradable y profesional informe. También puede copiar todo el directorio y grabarlo en un CD y los informes seguirán mostrándose correctamente.

Como curiosidad, este programa es un poco diferente. El instalador le pedirá que introduzca su nombre, la empresa y una ubicación para el logotipo de su empresa. Esta información es utilizada por los informes que dan una apariencia profesional.

lunes, 1 de septiembre de 2008

Curiosidad

Descubrimiento de dispositivos en Windows Vista

Me hago eco de un interesante articulo de Rob Lee, en el que comenta que Windows vista mantiene un historico sobre los dispositivos móviles que se han instalado.

La clave en cuestión es:
HKLM\Software\Microsoft\Windows Portable Devices\Devices

Las subclaves contienen el nombre de la unidad, letras asignadas y nombre de dispositivo

Rapidamente se han adaptado algunas utilidades para que sea más comodo el analisis forense, como por ejemplo RegRipper. Os muestro el informe de salida que proporciona la utilidad:

Device : DISK&VEN_APPLE&PROD_IPOD&REV_1.62
LastWrite : Fri Sep 21 01:42:42 2007 (UTC)
SN : 000A270018A0E610&0
Drive : IPOD (F:)

Device : DISK&VEN_BEST_BUY&PROD_GEEK_SQUAD_U3&REV_6.15
LastWrite : Thu Feb 7 13:26:19 2008 (UTC)
SN : 0C90195032E36889&0
Drive : GEEKSQUAD (F:)

Device : DISK&VEN_CASIO&PROD_DIGITAL_CAMERA&REV_1.00
LastWrite : Sat Dec 15 01:17:56 2007 (UTC)
SN : 6&14BB4B7C&0
Drive : Removable Disk (F:)

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...