Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Dom Nov 22, 2009 7:12 pm

Interesante, gracias!

Lun Nov 23, 2009 10:29 pm

Hola

En la seccion dedicada a la adquisicion de datos volatiles agregaria, antes de ejecutar ningun otro comando, un volcado de la memoria fisica del sistema, utilizando herramientas como pueden ser windd o mdd.

No se hasta que punto el analisis de estos volcados de memoria tienen algun tipo de validez legal, pero son de gran ayuda a la hora de orientar nuestras investigaciones o incluso dilucidar si el sistema se encuentra comprometido por algun tipo de malware.

Saludos

Sab Nov 28, 2009 9:15 pm

Hola:

Muchas gracias vlan7 ;)

PD: ¿Separamos mejor los agradecimientos a otro hilo y dejamos el "documento" "todo junto"?

Un saludo.

Sab Nov 28, 2009 10:17 pm

Hola Net,

Por mi me parece bien dejarlo todo junto, solamente comentar que aun tengo que acabarlo, pero ya queda muy poco ;)

¡Gracias!

Sab Nov 28, 2009 11:55 pm

Hola vlan7

En primer lugar reiterar mis agradecimientos, buen curro y muy buen material, ¡gracias!

vlan7 escribió:Por mi me parece bien dejarlo todo junto, solamente comentar que aun tengo que acabarlo, pero ya queda muy poco


Pues si te parece bien, vamos comentando en este hilo y cuando lo des por finalizado lo separamos en un solo mensaje para que quede todo mas mejor.

Ahora un par de apuntes:

vlan7 escribió:Mediante dd, familiar para los que venimos de UNIX, podemos obtener un completo volcado de la memoria fisica, mediante una sintaxis tal que asi:

Código:
dd if=\\.\PhysicalMemory of=%DIR%\fecha.bin bs=4096 -localwrt



La funcionalidad anterior se basa en la existencia del objeto \Device\PhysicalMemory el cual a partir de Windows Server 2003 con Service Pack 1 y Windows Vista, tal y como se menciona en el siguiente articulo de technet, no es accesible desde el modo usuario, por lo que el comando no nos funcionara.

Ademas la version actualmente disponible con el kit "Forensics Acquisition Utilities" no incluye soporte para utilizar este objeto, ya que el autor se ha concentrado en el desarrollo de KnTTools, cuya version basic es gratuita, previa solicitud, para personal acreditado en el sector.

vlan7 escribió:Disponemos en nuestro foro de un borrador sobre el analisis del registro de windows, publicado por neofito, y que debo reconocer que aun no me he leido (sorry no he tenido tiempo)


Ya te vale tio :badgrin: :badgrin:

Saludos

Dom Nov 29, 2009 12:38 am

¡Muchas gracias neofito por tus comentarios! Asi da gusto :)

Prometo leerme con calma los enlaces que nos has facilitado y mejorar el texto.

Lo dicho, mil gracias!

P.D. Aunque tuve la oportunidad, no soy personal acreditado en el sector... aps :( <EDIT>¿me lo pasas de estrangis? :badgrin: :badgrin: es coña jeje</EDIT>

Dom Nov 29, 2009 1:10 am

vlan7 escribió:¡Muchas gracias neofito por tus comentarios! Asi da gusto :)


Al final es lo que toca, un poquito de feedback y asi aprendemos todos.

vlan7 escribió:Prometo leerme con calma los enlaces que nos has facilitado y mejorar el texto.

Lo dicho, mil gracias!


El texto ya es bueno, como mucho completarlo, y no tienes porque darme las gracias.

vlan7 escribió:P.D. Aunque tuve la oportunidad, no soy personal acreditado en el sector... aps :( <EDIT>¿me lo pasas de estrangis? :badgrin: :badgrin: es coña jeje</EDIT>


Pues resulta que yo tampoco soy personal acreditado, asi que nos quedamos los dos con las ganas. No obstante, y por suerte, siempre existen alternativas.

Saludos

Dom Nov 29, 2009 12:57 pm

Bueno, pues acabo de editar los posts, y creo que ya esta listo para juntarlo cuando tengais tiempo y lo estimeis oportuno.

Y, como siempre, si veis algun error o quereis sugerir algo, pues en el hilo de comentarios se sigue aceptando cualquier apunte.

Suerte,

Dom Nov 29, 2009 5:59 pm

He metido la pata y me he saltado, a la hora de separar posts, dos posts.

Aunque tampoco creo que sea tan importantes, son agradecimientos, los quoteo aquí:

neofito escribió:Excelente aporte, gracias!!

Saludos

PD: Iba a añadir algunas cosas pero seguro las tienes en cuenta en el siguiente post



Muy currado nano. Enhorabuena

Espero la segunda parte ;)


Sorry! ;)

Un saludo.

Dom Nov 29, 2009 6:11 pm

No pasa nada, bastante lio monte :oops: apresurandome a compartir el texto con vosotros y llenandolo de edits.....

Me di cuenta tarde, una vez el lio estaba montao (sorryyyyy)

<EDIT>
Como mas vale tarde que nunca, he juntado todo lo que es el documento en si del otro hilo en un mismo post, que es lo que tendria que haber hecho en un principio. Y como de todo se aprende en esta vida, no volvera a pasar.

Pienso que asi queda mas claro.

De todas formas, para quitarle un poco de hierro al asunto, dejadme decir que...

¡A LA HOGUERA CONMIGO!
</EDIT>

Saludos,

Dom Nov 29, 2009 11:14 pm

Hola:

jajajajajajajaja... Yo no voy a encender la llama... Estás perdona hasta que la Santa Inquisición diga lo contrario...

Un saludo.
Publicar una respuesta