Kit de herramientas forensic.

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor Newhack » Mar Jun 17, 2008 7:12 pm

"Post" muchas gracias Arakiss.

Slayer escribió:Es decir, compras 128Mb, pero efectivos tienes 125Mb, es lo que tiene comprar a granel... ;)
:D . Si pero en este caso no te hacen buena medida. :)

Netting escribió:Exacto. Pero este tenía 124 ;)
Será que además de a granel era al por mayor. O te lo pesaron con una
báscula de romanas. :)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Bit69 » Dom Jun 22, 2008 12:40 am

Propongo que le pongan la "chincheta"

Salu2
Conecto... luego existo. No conecto... luego insisto
-------------------------------------------------------------------
Bit al derecho, Bit al revés: Bit1000101 - Bit45h - Bit69 (The Profanator)
Portador del único y legitimísimo embudo de enormérrima indulgencia plenaria -<|:P
Wadalbertia member #313 - KarroZILLAS!!! Founder Member #001
Miembro del movimiento anticastellanización de palabras técnicas.
Bit69
<|:-)
<|:-)
 
Mensajes: 492
Registrado: Mié Jun 07, 2006 10:23 am
Ubicación: Entre bits

Notapor Arakiss » Dom Jun 22, 2008 11:04 pm

Añadido un poco mas.

Saludos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Bit69 » Lun Jun 23, 2008 3:52 pm

Arakiss escribió:Añadido un poco mas.

Saludos


Poz que le pongan 2 chinchetas, ¡¡¡A ver si se cae con tanto peso Leñe!!!

:D :D :D :lol: :D :D :D


Fuera de coñas, está muy bueno el aporte, gracias Arrakis

Salu2
Conecto... luego existo. No conecto... luego insisto
-------------------------------------------------------------------
Bit al derecho, Bit al revés: Bit1000101 - Bit45h - Bit69 (The Profanator)
Portador del único y legitimísimo embudo de enormérrima indulgencia plenaria -<|:P
Wadalbertia member #313 - KarroZILLAS!!! Founder Member #001
Miembro del movimiento anticastellanización de palabras técnicas.
Bit69
<|:-)
<|:-)
 
Mensajes: 492
Registrado: Mié Jun 07, 2006 10:23 am
Ubicación: Entre bits

Notapor Arakiss » Lun Jun 23, 2008 8:11 pm

De nada Bit espero que os sirva,el post se alargara bastante ya que tengo muchas cosas que añadir pero no tengo mucho tiempo.Luego habra que ordenarlo bien,porque todo lo que he puesto hasta ahora esta libre de cargos,luego vendran comerciales y por ultimo Live-CD's.

Saludos y gracias por los animos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor neofito » Lun Jun 23, 2008 8:38 pm

Hola Arakiss

Sin duda el post es muy interesante y es digno de alabanza el curro que te estas pegando.

Hagamos lo siguiente. Pule un poco mas su contenido, realiza una ordenacion que consideres minimamente adecuada y cuando lo tengas, avisas en este mismo hilo y le ponemos una chincheta, separandolo antes del resto de respuestas no directamente relacionadas.

Saludos y muchas gracias por tu esfuerzo
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Arakiss » Lun Jun 23, 2008 10:35 pm

Ok,de echo es lo que tenia pensado ahora lo estoy haciendo asi de esta manera y cuando acabe lo voy a "limpiar" y ordenar mejor para que se entienda mejor si puedo pondre alguna captura tambien con cada programa.

Un saludo y gracias por vuestra atencion ;)
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Arakiss » Mar Jun 24, 2008 5:09 pm

Añadido un poco mas,a ver si algun dia acabo todo el post tal y como lo tengo planeado.

Saludos
Última edición por Arakiss el Mar Jun 24, 2008 7:26 pm, editado 1 vez en total
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Newhack » Mar Jun 24, 2008 7:07 pm

Bit escribió:
Arakiss escribió:
Añadido un poco mas.

Saludos

Poz que le pongan 2 chinchetas, ¡¡¡A ver si se cae con tanto peso Leñe!!!
:lol: :lol: :lol: Esa ha estado bien. me ha gustado. :D :lol:

Arakiss escribió:De nada Bit espero que os sirva,el post se alargara bastante ya que tengo muchas cosas que añadir pero no tengo mucho tiempo.Luego habra que ordenarlo bien,porque todo lo que he puesto hasta ahora esta libre de cargos,luego vendran comerciales y por ultimo Live-CD's.

Saludos y gracias por los animos
Pues no lo perderé de vista. Gracias por el trabajo.


Mientras, para que te quede bonito, ten en cuenta que el hecho de "Ok,de echo " va con 'h'.
En cambio "haber si algun dia acabo " no es un verbo, por lo que va separado y sin 'h'. (A ver)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Notapor Arakiss » Mar Jun 24, 2008 7:25 pm

Tienes razon,cuando finalice mi post voy a mejorar mi ortografia y a corregir todas las erratas.

Saludos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor vlan7 » Vie Jul 25, 2008 11:51 pm

Buen aporte Arakiss.

Me he dado cuenta de este hilo cuando se creo la seccion de Analisis Forense.

Solo un apunte, yo corrigiria lo del viejo lsof, que viene de list open files.

lsof es viejisimo pero muy muy interesante y poderoso. Mil veces lo he usado para saber que procesos estan haciendo uso de archivos en una particion que no me deja desmontar el sistema por estar en uso. Tambien puedes ver quien esta detras de una conexion, algun puerto que netstat te ponga como established, pues tambien funciona con sockets.

Pero no se hasta que punto lsof es una herramienta forense.

Gracias!!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Arakiss » Sab Jul 26, 2008 11:46 am

Sip tienes razon,no es exactamente una herramienta de forensic sin embargo podria ayudarte en tareas de forensic segun entiendo yo cuando necesites buscar cierta informacion dentro del SO.

Un saludo y gracias por tu comentario ;)
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Arakiss » Jue Sep 25, 2008 10:06 pm

Hola:

Casi me olvidaba de este post,pues nada aprovechando que tenia 5 minutos libres me he puesto ha actualizar un poco el hilo con mas material a ver si algun dia lo acabo y lo dejo bonito :lol:

Saludos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1332
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Re:

Notapor vlan7 » Jue Nov 24, 2011 8:31 pm

vlan7 escribió:Pero no se hasta que punto lsof es una herramienta forense.


Hola,

Siento reabrir el hilo, pero si, puede usarse el mitico lsof para recuperar archivos borrados. Por ejemplo, logs borrados en una maquina comprometida que aun estan siendo accedidos por su demonio correspondiente, un servidor Apache, etc.

En un terminal:
Código: Seleccionar todo
$ echo probando >basura7
$ less basura7

Y dejamos el less con el archivo abierto. Entonces en otro terminal:
Código: Seleccionar todo
$ rm basura7
$ ls basura7
/bin/ls: basura7: No such file or directory
$ lsof |grep basura7
less      14481       usuario    4r      REG        8,1          9    2627682 /tmp/basura7 (deleted)
$ file /proc/14481/fd/4
/proc/14481/fd/4: broken symbolic link to `/tmp/basura7 (deleted)'
$ cat /proc/14481/fd/4
probando

El primer numero es el PID. El segundo el numero de descriptor de fichero donde ese proceso lo tiene abierto. Y ahi esta "recuperado" (entre comillas porque realmente nunca se borro del disco).

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Kit de herramientas forensic.

Notapor neofito » Jue Nov 24, 2011 10:43 pm

Encantados estamos de que lo reabras :D

Saludos

PD: Sin tiempo para nada :cry:
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

AnteriorSiguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron