Randolph Chaves

Herramientas para análisis forense

Randolph — Fri, 17 Dec 2010 00:23:58 +0000

Listado de algunas herramientas de análisis forense para Debian, Ubuntu y derivadas:

$ sleuthkit
Conjunto de herramientas para análisis forense. Tambien conocido por TSK,
es una herramienta forense open-source para recuperación de datos.
Permite recuperar los datos y archivos dejados por el sospechoso.

Mas información de SleuthKit

$ autopsy
Interfase gráfica para el programa Sleuthkit.

Mas información de Autopsy

$ dcfldd
$ dcfldd if=/dev/zero of=/dev/null
Versión perfeccionada del comando dd para análisis forense

$ foremost
Aplicación forense para recuperación de datos

Sitio de Foremost

$ rdd
Programa de copia forense.

Sitio de rdd

$ scalpel
Herramienta de análisis de archivos de alta performance.

Mas información de scalpel

$ tct
Conjunto de utilitarios para análisis forense.

Mas información de tct

$ unhide (proc|sys|brute)
Herramienta forense para encontrar procesos y puertas ocultas TCP/UDP.

Mas información de Unhide

$ vinetto
Herramienta forense para examinar archivos Thumbs.db.

Mas información de vinetto

$ galleta
Herramienta forense para análisis de cookies del Internet Explorer.

$ pasco
Herramienta de análisis forense de cache de browsers Internet Explorer.

$ rifiuti2
Herramienta de análisis de papelera para sistemas MS Windows.

libtsk1 Biblioteca para análisis forense.

libtsk1-dbg Biblioteca para análisis forense con símbolos de debug.

libtsk1-dev Archivos de desarrollo para análisis forense.

DBan (Borrado definitivo de tu HD)

Randolph — Fri, 27 Aug 2010 03:01:23 +0000

DBAN (Darik’s Boot and Nuke)

Es una muy buena utilidad para el borrado definitivo de un disco duro. Está escrito en “C” con Licencia GPL.

Con Dban es solo bootear con la imagen versión al momento 2.26 desde 2010-05-24 que puedes bajar de sourceforge.net .

Con seguridad limpia el disco duro, automáticamente borrar completamente el contenido de cualquier disco duro que pueda detectar.

Es un medio de garantizar la debida diligencia en el reciclaje de computadoras, una manera de prevenir el robo de identidad por ejemplo si se quiere vender una computadora. Impide o dificulta a fondo todas las técnicas conocidas de disco duro de análisis forense.

DBAN es un producto de software libre que se pueden utilizar en casa o en una empresa con costo cero.

Cuenta con drivers para discos SCSI, IDE, PATA y SATA.

Soporta distintos sistemas de archivos ReiserFS, EXT2, EXT3, EXT4 ,UFS de Unix, también FAT, VFAT y NTFS.

Otra herramienta indispensable para la caja del SysAdmin

Información de nuestro Sistema

Randolph — Thu, 26 Aug 2010 14:37:41 +0000

Algunos comandos para saber información sobre nuestro sistema en Ubuntu y Debian.

Sobre mother, microprocesador, memoria, disco duro, bios, versión y/o distribución que usamos y sistema en general.

CPU

Listar el nombre del modelo del CPU

$ sudo grep "model name" /proc/cpuinfo

Otra opción para ver información del CPU

$ cat /proc/cpuinfo

USANDO SED
Comando alternativo usando SED para obtener modelo CPU

$ sudo sed -n 's/^model name[ \t]*: *//p' /proc/cpuinfo

BIOS

display BIOS information

$ sudo dmidecode -t bios

MOTHER

Ver información de la MOTHER

$ sudo dmidecode -t baseboard

Ver información del tipo de procesador

$ sudo dmidecode --type=processor

Algunas opciones de dmidecode para -t [type]

bios
system
baseboard
chasis
sis
processor
memory
cache
connector
slot

Usando lshw

lshw es una pequeña herramienta para extraer información detallada sobre el hardware y configuración de la máquina. Se puede obtener información exacta de la memoria, versión del firmware, configuración de la tarjeta madre, versión de la CPU su velocidad y también del caché.

Crea un informe de nuestro hardware en un formato html, luego lo podemos ver con el navegador

$ sudo lshw -html > hardware.html

Reporte comprimido de toda la información de nuestro equipo:

$ sudo lshw | bzip2 > /tmp/reporte_de_hardware.txt.bz2

32 o 64 bits?

$ sudo lshw -C cpu|grep width

información de la tarjeta gráfica

$ lshw -C display

información de nuestro disco duro en un archivo html

$ sudo lshw -C disk -html > /tmp/diskinfo.html

Información CPU

$ sudo lshw -C cpu

procinfo - información estadística desde /proc

$ procinfo

Distribución

También funciona en Ubuntu

$ cat /etc/debian_version

Versión Ubuntu

$ cat /etc/issue

Ubuntu 9.10

$ lsb_release --all

No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 9.10
Release: 9.10
Codename: karmic

Feliz cumpleaños “Linux”

Randolph — Wed, 25 Aug 2010 03:01:04 +0000

«Un 25 de agosto, pero de 1991, hace exactamente 19 años- el finlandés Linus Torvalds enviaba un humilde mensaje a Internet anunciando al mundo el proyecto en el que llevaba varios meses trabajando en sus ratos libres: un sistema operativo para ordenadores personales, algo que comenzó por puro hobby de un apasionado a la informática».

From:torv...@klaava.Helsinki.FI (Linus Benedict Torvalds)
Newsgroup: comp.os.minix
Subject: What would you like to see most in minix?
Summary: small poll for my new operating system
Message-ID: 1991Aug25, 2057...@klaava.Helsinki.FI
Date: 25 Aug 91 20:57:08 GMT
Organization: University of Helsinki. 

Hola a todos los que usan minix-

Estoy haciendo un sistema operativo (gratis*) (Es solo un hobby, no será grande
y profesional como gnu) para 386(486). Llevo trabajando en el desde Abril, y esta
comenzando a estar listo. Me gustaría toda retroalimentación sobre las cosas que
les gusta o disgusta de minix; ya que mi Sistema Operativo se parece un poco
(debido a la manera en que ordenamos fisicamente el sistema de archivos por
motivos practicos) entre otras cosas. 

Realicé un port de bash (1.08) y gcc (1.40), y las cosas parecen funcionar.
Esto implica que tendré algo practico en un par de meses y me gustaría saber que
funciones son las que más quieren. Las sugerencias son bienvenidas pero no prometo
implementarlas  

Linus Torvalds torv...@kruuna.helsinki.fi

En lo personal, desde fines de 1998 no dejo de aprender cada día algo “nuevo” sobre Gnu/Linux.

Más información sobre Linux.

Libro OOoBasic

Randolph — Tue, 24 Aug 2010 14:29:19 +0000

Libro “Aprendiendo OOo Basic”

Autor : Mauricio Baeza Servín

Libro para aprender a programar con OOo Basic dentro de OpenOffice.org, más de 500 páginas que te llevan paso a paso en tu aprendizaje. Archivo en su formato original ODT de OpenOffie.org Writer.

Como apoyo durante tu aprendizaje puedes suscribirte a la siguiente lista de correo: Consultas OOo Basic
La ultima actualización de este libro fue el: 07-Jul-2010
Licencia : GNU Free Documentation License, v1.3 o posterior

Sitio oficial donde bajar en distintos formatos inclusive el código fuente utilizado en el libro:

http://www.correolibre.net/archivos/

También con licencia GPL:

Sencillo y simple pero funcional sistema de facturación. Se usa OOo Base como base de datos y OOo Calc como interfaz de usuario. Esta adaptado a las necesidades de México, pero puedes adaptarlo fácilmente a tus necesidades.

Como apoyo para el uso, modificación, personalización y adaptación a tus necesidades, puedes suscribirte a la siguiente lista de correo: Consultas OOo Basic

La ultima actualización del sistema de facturación fué el: 24-Ago-2010

Habilitar SSH2 en WordPress

Randolph — Thu, 19 Aug 2010 20:10:58 +0000

Para actualizar wordpress siempre prefiero hacerlo manual y por consola. Pero dado que desde la administración solo permite ftp/ftps y hay quién maneja toda la administración visual y solo tiene conexión “ssh” con el servidor , en éste caso “libssh2-php” es una buena opción.

Recordar antes de actualizar wordpress o los plugin's,
hacer respaldo de la Base de Datos y todos lo datos.

En Ubuntu server o Debian se puede habilitar ssh2 instalando:

$ sudo aptitude install libssh2-php

En cherokee web server:

sudo nano /etc/php5/cgi/php.ini

En Apache:

sudo nano /etc/php5/apache2/php.ini

Agregar en la sección:

:::::::::::::::::::::::::::::::::::::::::::

; Dynamic Extension

:::::::::::::::::::::::::::::::::::::::::::

extension=ssh2.so

Luego reinciar el servidor web:

$ sudo /etc/init.d/apache2 restart

Para cherokee solo con “force-reload” es suficiente:

sudo /etc/init.d/cherokee force-reload

Ahora en la administración de wordpress en la ventana de conexión nos aparecerá ssh2 (Ver imágen)

Teniendo los permisos correspondientes en el servidor no debería haber ningún problema.

wget (Gestor de descargas)

Randolph — Wed, 18 Aug 2010 19:59:41 +0000

GNU Wget es una herramienta de software libre que permite la descarga de contenidos de una forma simple desde la interfaz de la ” línea de comandos”.

Soporta descargas mediante los protocolos http, https y ftp.

Siguiendo con la utilidades para consola, van algunos ejemplos del uso de wget.

Ejemplos:

Sin ningún parámetro especial, estaría bajando la distribución de “Ubuntu 10.04.1 desktop” :

$ wget http://releases.ubuntu.com/releases/10.04/ubuntu-10.04.1-desktop-i386.iso

Y si corta la conexión por algún motivo y podamos continuar la descarga usamos el parámetro <-c>:

$ wget -c http://releases.ubuntu.com/releases/10.04/ubuntu-10.04.1-desktop-i386.iso

En descargas muy largas como una “iso” de la distribución “ubuntu”, se puede limitar el ancho de banda de la descarga ya que podría ser que la descarga ocupara todo el ancho de banda durante mucho tiempo. El parámetro <–limit-rate=60K> en este ejemplo no superaría 60 kb/s.

$ wget -c --limit-rate=60K http://releases.ubuntu.com/releases/10.04/ubuntu-10.04.1-desktop-i386.iso

Algunos parámetros más:

-P nombredir     # Grabar los archivsave files into directory llamado "nombredir"
-p               # descarga todas las páginas.
-E               # Grabar páginas text/html como .html
-r               # recursivo
-k               # convertir enlaces para visualización local.
-U "Mozilla"     # enviar solicitud como usuario de Mozilla (navegador web)
-w N             # espera N segundos entre pedidos de descargas
--no-parent      # no descargará archivos por debajo del directorio que deseamos descargar.
-nd              # no crea jerarquía de directorios.
-nH              # no crea el directorio
--cut-dirs=N     # corta el nro de directorios a crear
--mirror         # Opciones para el "mirroring"

Wget es muy potente es solo una muestra de lo que se puede hacer. Por eso más información y para aprender más:

$ man wget

Manuales en distintos formatos en el sitio oficial GNU Wget.

Comandos para agilizar el uso del terminal

Randolph — Fri, 13 Aug 2010 14:34:32 +0000

Pequeño resumen de algunos de los comandos que uso y que agilizan el uso del terminal si tener que digitar una y otra vez.

Para activar la búsqueda incremental inversa (reverse-i-search).

Solo introducir alguna letras del comando; lo que hace es buscar en el historial los comandos que has digitado.

Repitiendo [ctrl]+[r] hasta encontrar el comando que buscas y luego [enter], para salir [Esc]

$ ctrl+r

Búsqueda por referencia [alt]+ [p]

$ Alt+p
$ :cat [enter]
$ cat /etc/hosts

Repetir el último comando digitado:

$ !!

Repetir un comando que por ejemplo empieze con la letra “c”, repetiría el comando anterior “cat /etc/hosts”.

$ !c

Glabels (Crear etiquetas y mucho más)

Randolph — Wed, 04 Aug 2010 23:27:37 +0000

Hace mucho tiempo uso en Ubuntu ésta utilidad que es muy rápida, práctica y sencilla de usar:

Glabels es un progrma para crear distintos tipos de etiquetas, carátulas para CD/DVD, tarjetas de negocios y mas.

Permite una rápida edición de etiquetas, cuenta con templates para hacerlo aún mas fácil.

Instalación:

Por consola:

sudo aptitude install glabels

Módo gráfico desde Gnome:

/Sistema/Administración/Gestor de paquetes Synaptic

Luego de instalado lo encontramos en:

/Aplicaciones/Oficina/Diseñador de etiquetas gLabels

gLabels is free software and is distributed under the terms of the GNU General Public License (GPL)

Sitio oficial: gLabels

Testdisk y PhotoRec (Recuperar particiones y archivos)

Randolph — Tue, 03 Aug 2010 19:40:34 +0000

Es una de las tantas “buenas” herramientas que hay para recuperación de particiones y archivos perdidos. Infaltable en el maletín del Sysadmin .

Es un software OpenSource y está bajo licencia Licencia Pública General GNU (GPL).

Testdisk (Partition scanner and disk recovery tool)

Chequea las particiones y los sectores de booteo de discos, pendrive, memorias.

Para instalar en Debian, Ubuntu y distribuciones derivadas:

aptitude install testdisk

Funciona con:

* DOS/Windows FAT12, FAT16 and FAT32
* NTFS ( Windows NT/2K/XP )
* Linux Ext2 and Ext3
* BeFS ( BeOS )
* BSD disklabel ( FreeBSD/OpenBSD/NetBSD )
* CramFS (Compressed File System)
* HFS and HFS+, Hierarchical File System
* JFS, IBM’s Journaled File System
* Linux Raid
* Linux Swap (versions 1 and 2)
* LVM and LVM2, Linux Logical Volume Manager
* Netware NSS
* ReiserFS 3.5 and 3.6
* Sun Solaris i386 disklabel
* UFS and UFS2 (Sun/BSD/…)
* XFS, SGI’s Journaled File System

PhotoRec (File data recovery software designed to recover)

Para recuperar imágenes perdidas de archivos de cámaras digitales o discos duros, ejecutar:
$ sudo photorec

Busqueda para:

 * Sun/NeXT audio data (.au)
 * RIFF audio/video (.avi/.wav)
 * BMP bitmap (.bmp)
 * bzip2 compressed data (.bz2)
 * Source code written in C (.c)
 * Canon Raw picture (.crw)
 * Canon catalog (.ctg)
 * FAT subdirectory
 * Microsoft Office Document (.doc)
 * Nikon dsc (.dsc)
 * HTML page (.html)
 * JPEG picture (.jpg)
 * MOV video (.mov)
 * MP3 audio (MPEG ADTS, layer III, v1) (.mp3)
 * Moving Picture Experts Group video (.mpg)
 * Minolta Raw picture (.mrw)
 * Olympus Raw Format picture (.orf)
 * Portable Document Format (.pdf)
 * Perl script (.pl)
 * Portable Network Graphics (.png)
 * Raw Fujifilm picture (.raf)
 * Contax picture (.raw)
 * Rollei picture (.rdc)
 * Rich Text Format (.rtf)
 * Shell script (.sh)
 * Tar archive (.tar )
 * Tag Image File Format (.tiff)
 * Microsoft ASF (.wma)
 * Sigma/Foveon X3 raw picture (.x3f)
 * zip archive (.zip)

Más información y ejemplos: Testdisk y PhotoRec.