Sitio para la difusión de conocimiento informático. 

Twitter RSS

Debian Live Systems

Crea tu propio Live System con Debian

 

Un sistema Debian Live es un sistema operativo Debian que no requiere la clásica instalación para ser usado. Este puede usarse a partir de varios medios, incluyendo CD-ROM, USB, o a través de la red.

Pagina principal del proyecto: http://live.debian.net/

A continuación veremos un ejemplo sobre cómo crear nuestro Live System con Debian, y customizar el sistema para el uso de herramientas forenses.

Continue Reading

 

Integrando Dispositivos de Red a Prelude SIEM

Integrando Dispositivos de Red a Prelude SIEM

 

En esta publicación veremos un resumen sobre como debemos agregar un nuevo dispositivo de red a Prelude.

Prelude utiliza el agente Prelude-LML para recibir eventos. Este proceso lee archivos syslog según un formato definido en el archivo de configuración prelude-lml.conf, para así obtener la fecha y hora, nombre del dispositivo que reportó el evento, o número de proceso, etc.
Una vez que lee los mensajes que llegan al syslog, se procede a buscar una coincidencia mediante una expresión regular definida en el archivo ruleset/pcre.rules. Encontrada una coincidencia, el mensaje será analizado contra expresiones regulares definidas para este tipo de mensajes syslog y determinar si es necesario generar una alerta. Ej. de esta forma los mensajes que correspondan a un firewall cisco serán analizados con las reglas defindas en ruleset/cisco-asa.rules.

Índice
1.1 – Definir un nuevo formato Syslog.
2.1 – Definir nuevas reglas en pcre.rules.
3.1 – Crear nuevas reglas para generar alertas.
4.1 – Ejemplo Cisco ASA
5.1 – Ejemplo Fortigate
6.1 – Ejemplo IBM DataPower xG45

Continue Reading

 

The Sleuthkit Programs

Qué son “The Sleuthkit Programs”?

The Sleuthkit Programs: Trabajan en Unix y Windows. Son un total de 27 herramientas basadas en el modelo UNIX de pequeñas herramientas especializadas. Están organizadas según las capas del sistema de archivos. Posee herramientas para cada etapa del análisis forense que pueden utilizarse en conjunto con otras herramientas durante la investigación.

Autopsy: Es una servidor HTML que ejecuta los comandos TSK, analiza la salida y la despliega en HTML para cualquier navegador. Actualmente utiliza TSK y otras herramientas Unix estándares Open Source y Free.

Sitio oficial: http://www.sleuthkit.org/

 

Índice:
1.1 Capas de un Sistema de Archivos
2.1 The Sleuthkit según la capa del sistema de archivos
3.1 Ejemplos de Uso

Continue Reading

 

Volatility

Qué es Volatility?

Volatility framework es una completa colección de herramientas open, escrita en Python bajo licencia GNU, para el análisis de la memoria volátil (RAM). Tiene como objetivo introducir a las personas en las complejas técnicas de extracción de artefactos digitales de imágenes de memoria volátil (RAM), y proveer una plataforma para futuro trabajo dentro del área de la investigación.

¿Por que Volatility? – Es un framework único, y coherente, que analiza volcados de memoria RAM de 32 y 64 bits para los sistemas Windows, Linux, Mac, y el android. El diseño modular de Volatility le permite soportar fácilmente nuevos sistemas operativos y arquitecturas tan pronto son publicadas. Todos los dispositivos son objetivos de ataques, por eso no debe limitarse solo a computadoras “Windows”.

Pagina principal del proyecto: “http://code.google.com/p/volatility/”.

A continuación veremos como instalar esta herramienta en Debian, y un breve ejemplo de uso.

Índice:
1.1 Como instalar Volatility en Debian
2.1 Ejemplos de Uso
3.1 Páginas Man

Continue Reading

 

RegRipper

Que es RegRipper?

RegRipper es una herramienta Open Source, escrita en Perl, con el propósito de analizar la información de las llaves, valores, y datos del registor de Windows para presentar los mismos con el fin de analizarlos. RegRipper consiste en dos herramientas básicas, ambas proveen capacidades similares. La GUI permite al analista seleccionar la clave del registro, un salida a un archivo con el resultado, y un perfil (lista de plugins) para correr contra la clave del registro.  La herramienta para la línea de comandos (CLI) llamada rip. Rip puede ser ejecutada contra la clave del registro usando un perfil o un plugin individual, siendo el resultado enviado a la STDOUT. Rip puede ser incluído en archivos batch, usando los operadores de redirección para enviar la salida a un archivo. Rip no escribe la actividad a un archivo de log.

El siguiente link corresponde al sitio oficial: “http://code.google.com/p/regripper/”.

A continuación veremos como instalar esta herramienta y unos ejemplos prácticos de uso.

Índice:
1.1 Instalación de RegRipper
2.1 Ejemplos de Uso
3.1 Paginas MAN

Continue Reading