miércoles, 4 de agosto de 2010

Usando la estructura KPCR en nuestro beneficio

En la búsqueda de procesos o drivers maliciosos ocultos cargados en memoria resultan de vital interés determinadas variables que contienen información relevante respecto al estado del kernel en el sistema en que Windows se está ejecutando. En este artículo y probablemente otro venidero descubriremos como acceder al contenido de estas variables, las estructuras que las contienen y algunas cosas más.

Leer más...

domingo, 30 de mayo de 2010

Adquisición de evidencias

Ya hemos hablado aquí de WinFE, una distribución live de Windows Vista orientada principalmente al campo del computer forensics. Vamos a sacarle partido en estas líneas y desarrollar la forma de utilizarla para la adquisición de evidencias, clonado del sistema objetivo de análisis o imaging, que queda como más mejor.

No estoy diciendo que sea mejor utilizar WinFE en lugar de los clásicos live-CD de Linux, ni es mi intención iniciar una de esas batallas que al final no conducen a nada; cada cual utilice aquello con lo que se sienta más comodo, pero al menos que conozca las alternativas.

Pero dado que no soy analista forense y por lo tanto no tengo la necesidad de este tipo de proceso, ¿como es que empezó todo esto?

Leer más...

jueves, 13 de mayo de 2010

Resultados del Honeynet Forensic Challenge 2010/3

Hoy se han publicado los resultados y podemos descargar tanto una solución de ejemplo como los informes enviados por los finalistas:

  1. Mario Pascucci (Italy)
  2. Tyler Hudak (USA)
  3. Carl Pulley (UK)
En primer lugar felicitar a los ganadores. Por otra parte no estoy del todo descontento con mi puntuación personal ya que he conseguido el puesto 13 de entre 22 informes enviados y la satisfacción de haber encontrado las soluciones adecuadas. Pero como habitualmente, me ha vuelto a faltar soltura con el inglés, así que tendré que ponerme en serio con ello.

Leer más...

lunes, 10 de mayo de 2010

Otro análisis más (y van 4) - Parte III

En la entrada anterior conseguimos extraer varios ficheros PDF desde el espacio de memoria del proceso AcroRd32. Uno de los documentos estaba cifrado y el otro contenía código javascript configurado para lanzarse de forma automática al abrir el fichero; y todo esto lo descubrimos gracias a Didier Stevens y su herramienta pdfid.

Para que resulte más fácil seguir el relato, al final del mismo he adjuntado un fichero zip con password 'infected' que contiene todos y cada uno de los ficheros analizados. Ya os aviso que dichos archivos son peligrosos así que vosotros vereis lo que haceis.

Leer más...

martes, 4 de mayo de 2010

Otro análisis más (y van 4) - Parte II

Continuando con el análisis de la imagen proporcionada como base para el Honeynet Forensic Challenge 2010/3, que iniciamos en la entrada anterior, comenzamos el segundo round.

Leer más...

jueves, 29 de abril de 2010

Otro análisis más (y van 4) - Parte I

En este caso la imagen utilizada es la del Honenynet Forensic Challenge 2010/3, al que he presentado mi solución, y que ganar no ganaré, ni de coña vamos, pero que me ha servido para aprender mucho y de paso quitarme algunos miedos.

La historia, "Banking Troubles", es simple: usuario X de la empresa Y recibe un correo de un compañero apuntando a un fichero PDF el cual abre. Nada destacable hasta aquí, pero a partir de ese momento empieza a detectar movimientos extraños en su cuenta bancaria. ¿Qué ha pasado?

Leer más...

lunes, 19 de abril de 2010

The blog is alive

Siempre intento, al menos dentro de mis posibilidades, publicar entradas técnicas e ir tratando de superarme a mí mismo forzándome a estudiar y estudiar antes siquiera de pensar en escribir algo; y esa es la causa de que el blog esté tan parado últimamente.

Entre la falta de tiempo motivada por compromisos, trabajo y vida social, la cual intento mantener a buén ritmo por el bién de mi salud mental, no es que me queden muchas horas que emplear jugando o perdiendo el tiempo, según se mire o, mejor dicho, según quien mire. Además, inevitablemente uno va encontrando escollos y lagunas de conocimientos que resultan auténticos devoradores de tiempo, quizás en ocasiones me sobreestime, ¿pero quién dijo que fuera fácil?

Tenía preparadas varias entradas que pensaba ir liberando a lo largo de esta semana, contando con que el día 18 se cerraba el plazo para el envío de informes o solucionarios para el Forensic Challenge 2010/3, organizado por la gente de honeynet. Pero parece que han decidido extenderlo, y no sería correcto, al menos así lo veo yo, hacerlo en este momento.

En resumen, que sigo aquí intentando aprender más para poder contarlo mejor.

Leer más...

miércoles, 24 de marzo de 2010

/Rooted CON 2010

Ya hace varios días que terminó la primera rootedcon a la que tuve la suerte de poder asistir. Grande ha sido la repercusión la cual puede comprobarse por las incontables menciones a la misma en todo tipo de medios de comunicación.

Pero en esta entrada no hablaré de lo interesantes que fueron para mí la mayoría de las charlas, la extraordinaria capacidad técnica de los ponentes, ni la increible labor de los organizadores y colaboradores que, pese a ser la primera edición, supieron estar a la altura que un evento así requiere.

En esta entrada me centraré en la moraleja que se me ha quedado grabada a fuego. Estaba patente en el ambiente y supieron resumirla como nadie los "welos" de la scene española, Jordi Murgó (savage) y Ramón Martínez (rampa) ambos integrantes del mítico grupo Apòstols: es imporante investigar y descubrir, pero aún lo es más el compartir el conocimiento adquirido.

Como a mí me gusta pensar, la verdad es la que nos hace libres, pero para llegar a la verdad es necesario conocer; no lo olvidemos nunca.

Leer más...

jueves, 4 de marzo de 2010

Windows Vista FE

No son pocas las distribuciones de Linux orientadas al análisis forense que se distribuyen en forma de Live-CD: Helix, DEFT o FIRE son sólo algunos ejemplos. Sin embargo no es menos cierto que no todos los usuarios se sienten cómodos con el sistema operativo del pingüino.

Si a lo anterior le sumamos lo difícil que resulta en ocasiones pelear con el hardware de última hornada para hacerlo funcionar en Linux, no estaría mal disponer de alternativas, alternativas como puede ser un Live-CD de Windows.

Leer más...

lunes, 22 de febrero de 2010

La Papelera de reciclaje en Windows Vista/7

Las hay más llenas o más vacías, conteniendo cosas banales o secretos de estado, pero lo que todos los sistemas Windows tienen en común al respecto, es que todos tienen una. En esta ocasión hablaré de Windows Vista y 7, porque de los anteriores ya se sabe bastante.

Lo primero es lo primero y el mérito en este caso corresponde a Mitchell Machor, autor del primer análisis en su documento "The Forensic Analysis of the Microsoft Windows Vista Recycle Bin". Yo sólo comento en castellano y propongo una herramienta.

Leer más...

jueves, 11 de febrero de 2010

Yo también voy a la /Rooted Con

Hoy mismo me acaba de llegar un detalle de los organizadores del congreso por ser uno de los 100 primeros en asegurarse una plaza como asistente. No tengo ninguna experiencia en cuanto a este tipo de eventos, pero estoy seguro que va a cumplir todas mis expectativas, y con creces.

Yo voy a la primera /Rooted con
Y tú, ¿también vas a ir a la primera /Rooted Con?

Leer más...

miércoles, 27 de enero de 2010

Análisis de un caso ¿real?, #3

Andaba reorganizando el disco duro de mi portátil, que como a base de discos he aprendido, el tamaño que ocupa el material que pretendo almacenar siempre es superior a la partición destinada a tal efecto. En esas me hallaba cuando me encontré un directorio olvidado conteniendo volcados de memoria; cansado como estaba de andar buceando entre papers, manuales, herramientas y demás ficheros imprescindibles el resto era fácilmente previsible.

Leer más...

domingo, 3 de enero de 2010

Un poco de todo

Parece que el ocaso del 2009 y comienzo del 2010 auguran buenos tiempos en lo referente al análisis forense de sistemas, y he pensado que sería útil disponer de una especie de recopilatorio para todas estas novedades, al menos para todas de las que personalmente tengo constancia.

Leer más...