Preguntas referentes a "Recogiendo datos para AF en Win

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Notapor disturb » Dom Nov 22, 2009 7:12 pm

Interesante, gracias!
disturb
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2253
Registrado: Mié Ene 26, 2005 5:30 pm
Ubicación: Málaga

Notapor neofito » Lun Nov 23, 2009 10:29 pm

Hola

En la seccion dedicada a la adquisicion de datos volatiles agregaria, antes de ejecutar ningun otro comando, un volcado de la memoria fisica del sistema, utilizando herramientas como pueden ser windd o mdd.

No se hasta que punto el analisis de estos volcados de memoria tienen algun tipo de validez legal, pero son de gran ayuda a la hora de orientar nuestras investigaciones o incluso dilucidar si el sistema se encuentra comprometido por algun tipo de malware.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor NeTTinG » Sab Nov 28, 2009 9:15 pm

Hola:

Muchas gracias vlan7 ;)

PD: ¿Separamos mejor los agradecimientos a otro hilo y dejamos el "documento" "todo junto"?

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor vlan7 » Sab Nov 28, 2009 10:17 pm

Hola Net,

Por mi me parece bien dejarlo todo junto, solamente comentar que aun tengo que acabarlo, pero ya queda muy poco ;)

¡Gracias!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Sab Nov 28, 2009 11:55 pm

Hola vlan7

En primer lugar reiterar mis agradecimientos, buen curro y muy buen material, ¡gracias!

vlan7 escribió:Por mi me parece bien dejarlo todo junto, solamente comentar que aun tengo que acabarlo, pero ya queda muy poco


Pues si te parece bien, vamos comentando en este hilo y cuando lo des por finalizado lo separamos en un solo mensaje para que quede todo mas mejor.

Ahora un par de apuntes:

vlan7 escribió:Mediante dd, familiar para los que venimos de UNIX, podemos obtener un completo volcado de la memoria fisica, mediante una sintaxis tal que asi:

Código: Seleccionar todo
dd if=\\.\PhysicalMemory of=%DIR%\fecha.bin bs=4096 -localwrt



La funcionalidad anterior se basa en la existencia del objeto \Device\PhysicalMemory el cual a partir de Windows Server 2003 con Service Pack 1 y Windows Vista, tal y como se menciona en el siguiente articulo de technet, no es accesible desde el modo usuario, por lo que el comando no nos funcionara.

Ademas la version actualmente disponible con el kit "Forensics Acquisition Utilities" no incluye soporte para utilizar este objeto, ya que el autor se ha concentrado en el desarrollo de KnTTools, cuya version basic es gratuita, previa solicitud, para personal acreditado en el sector.

vlan7 escribió:Disponemos en nuestro foro de un borrador sobre el analisis del registro de windows, publicado por neofito, y que debo reconocer que aun no me he leido (sorry no he tenido tiempo)


Ya te vale tio :badgrin: :badgrin:

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor vlan7 » Dom Nov 29, 2009 12:38 am

¡Muchas gracias neofito por tus comentarios! Asi da gusto :)

Prometo leerme con calma los enlaces que nos has facilitado y mejorar el texto.

Lo dicho, mil gracias!

P.D. Aunque tuve la oportunidad, no soy personal acreditado en el sector... aps :( <EDIT>¿me lo pasas de estrangis? :badgrin: :badgrin: es coña jeje</EDIT>
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Dom Nov 29, 2009 1:10 am

vlan7 escribió:¡Muchas gracias neofito por tus comentarios! Asi da gusto :)


Al final es lo que toca, un poquito de feedback y asi aprendemos todos.

vlan7 escribió:Prometo leerme con calma los enlaces que nos has facilitado y mejorar el texto.

Lo dicho, mil gracias!


El texto ya es bueno, como mucho completarlo, y no tienes porque darme las gracias.

vlan7 escribió:P.D. Aunque tuve la oportunidad, no soy personal acreditado en el sector... aps :( <EDIT>¿me lo pasas de estrangis? :badgrin: :badgrin: es coña jeje</EDIT>


Pues resulta que yo tampoco soy personal acreditado, asi que nos quedamos los dos con las ganas. No obstante, y por suerte, siempre existen alternativas.

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor vlan7 » Dom Nov 29, 2009 12:57 pm

Bueno, pues acabo de editar los posts, y creo que ya esta listo para juntarlo cuando tengais tiempo y lo estimeis oportuno.

Y, como siempre, si veis algun error o quereis sugerir algo, pues en el hilo de comentarios se sigue aceptando cualquier apunte.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Dom Nov 29, 2009 5:59 pm

He metido la pata y me he saltado, a la hora de separar posts, dos posts.

Aunque tampoco creo que sea tan importantes, son agradecimientos, los quoteo aquí:

neofito escribió:Excelente aporte, gracias!!

Saludos

PD: Iba a añadir algunas cosas pero seguro las tienes en cuenta en el siguiente post



Muy currado nano. Enhorabuena

Espero la segunda parte ;)


Sorry! ;)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor vlan7 » Dom Nov 29, 2009 6:11 pm

No pasa nada, bastante lio monte :oops: apresurandome a compartir el texto con vosotros y llenandolo de edits.....

Me di cuenta tarde, una vez el lio estaba montao (sorryyyyy)

<EDIT>
Como mas vale tarde que nunca, he juntado todo lo que es el documento en si del otro hilo en un mismo post, que es lo que tendria que haber hecho en un principio. Y como de todo se aprende en esta vida, no volvera a pasar.

Pienso que asi queda mas claro.

De todas formas, para quitarle un poco de hierro al asunto, dejadme decir que...

¡A LA HOGUERA CONMIGO!
</EDIT>

Saludos,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Dom Nov 29, 2009 11:14 pm

Hola:

jajajajajajajaja... Yo no voy a encender la llama... Estás perdona hasta que la Santa Inquisición diga lo contrario...

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron