martes, 27 de octubre de 2009

Volatility 1.3.2 is out!

Vía echo6 me entero de la noticia. Parece que después de un intenso trabajo de desarrollo ya tenemos una nueva versión estable del framework para el análisis de volcados de memoria de sistemas Windows.

Si somos realmente intrépidos podremos descargar la rama de desarrollo utilizando subversion desde el sitio en Google Code. En cualquier caso seguro que estarán encantados de que informemos sobre cualquier posible bug derivado de su uso.

Destacar la gran labor que está llevando a cabo Jamie Levy en la parte de documentación, disponible también en el sitio de Google y donde, ¡atención!, aparecemos enlazados :)

Leer más...

jueves, 22 de octubre de 2009

Crónica de una infección, día 3

Parece que olvidé extraer de la máquina virtual infectada los ficheros con la traza del malware, léase el log de Process Monitor (Logfile.PML) y la captura de Wireshark (malware.pcap). No repetiré aquí como montar el disco creado por Vmware Server, en todo caso siempre puedo consultar mis notas.

Después de advertir el tamaño del log de Process Monitor (casi 92MB), advierto que las pistas obtenidas en cuanto a nuevos ficheros y claves del registro creadas en el sistema junto con varias operaciones lógicas, serán cruciales para seguirle los pasos al engendro.

Leer más...

lunes, 12 de octubre de 2009

Crónica de una infección, día 2

Continuando por donde lo dejé llega el momento de la infección, autoinfección o como quiera que deba llamársele, que al final el resultado va a ser el mismo. Ya tengo todo lo que necesito en el directorio C:\analisis, incluyendo el programa fileverifier++ (C:\analisis\fv), regshot (C:\analisis\regshot) y las utilidades de sysinternals que he escogido para estas labores (C:\analisis\sysinternals).

Dentro de ese mismo directorio además tengo un fichero con las sumas md5 para el sistema "limpio" (C:\analisis\fv\baseline.01.txt) y una instantánea del registro, también en las mismas condiciones (C:\analisis\baseline.regshot.01.hiv).

Por último, y también en esa ubicación, he extraido el contenido del fichero descargado de offensivecomputing, con nombre malware. Así que vamos con la acción. Ah, casi olvido mencionar que, cuando terminé la instalación de Windows en la máquina virtual agregué las VMware-tools. Tendré que tener más cuidado a partir de ahora e intentar registrar detalladamente cada uno de mis pasos, mejor que sobre a que falte.

Leer más...

viernes, 2 de octubre de 2009

Crónica de una infección, día 1

Siempre había querido escribir un diario, solo que nunca pense que tendría algo que contar. Quizás realmente siga sin tener nada interesante que escribir, pero lo cierto es que un día tenía que ser el primero, y éste es tan bueno para ello como podría serlo cualquier otro. Lo mejor será que empiece por el principio, y el principio fué hace algunas semanas, en casa de un buén amigo.

Supongo que todos los que, de alguna forma, disfrutamos haciéndoles perrerías a los ordenadores, padecemos algo de deformación profesional. En mi caso se manifiesta sintiéndome tentado a toquetear siempre que advierto el menor signo de vida palpitando en un monitor, y eso es lo que pasó. Lo último que recuerdo fué la luz intermitente de mi pendrive y un fichero comprimido en rar dentro de una carpeta con un nombre muy sugerente: malware.

Leer más...