Recientemente leía una entrada de un instructor de SANS con amplia experiencia en respuesta ante incidentes que propone una breve lista de acciones para determinar rápidamente si un equipo Windows está infectado, sin necesidad de instalar un software de terceros, simplemente desde la linea de comandos. Obviamente y como dice su autor no es un método infalible pero si es verdad que ayudará a detectar muchas infecciones de una manera rápida y eficiente.

Elementos de inicio mediante WMIC

Windows incorpora una herramienta muy potente que seguro que conocéis: WMIC que, entre otras cosas, puede mostrar los elementos que se ejecutan al inicio para una posterior investigación. Sólo tienes que abrir la consola y escribir 'wmic startup list full'.

Como se muestra en el ejemplo es fácil identificar un programa que se ejecuta en el directorio Local\Temp, para luego subir el hash sospechoso a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o VirusTotal.


Caché DNS

Ahora si escribes 'ipconfig /displaydns' se mostrarán los dominios que se han resuelto recientemente. Si ves algo extraño es recomendable buscar el nombre de dominio y la IP en VirusTotal o similar para determinar si es malicioso.


Lista de procesos con WMIC

De nuevo usamos WMIC, esta vez con 'wmic process list full | more' o, si quieres una salida más compacta, aunque con un comando más largo de escribir:

wmic process get description,processid,parentprocessid,commandline /format:csv

Busca cosas que se ejecutan en lugares extraños o nombres de procesos maliciosos/aleatorios/extraños.


Lista de servicios con WMIC

Esto puede ser más difícil si no sabemos lo que estamos viendo, pero es fácil de comprobar y a menudo el malware todavía se encuentra fácilmente por el nombre de la ruta de acceso o exe. El formato es el mismo que otros, o puedes ser más específico con la versión "get".

wmic service list full | more

o

wmic service get name,processid,startmode,state,status,pathname /format:csv

A continuación se muestra un terminal de ejemplo que muestra sólo el nombre del servicio y la ruta:


Lista de jobs de WMIC

Con éste es menos probable encontrar algo porque la mayor parte del malware no utiliza jobs, pero algunos como MPlug lo hacen, y una vez más es bastante fácil de comprobar. Simplemente ejecuta 'wmic job list full', Probablemente recibas una respuesta del tipo 'Instance(s) Available' lo que significa que no hay tareas programadas.

Prefetch de Windows

Es posible que esta característica no esté activada si tienes un SSD, pero si lo está, tendrás una lista con los últimos 128 ejecutables ejecutados (valga la redundancia). Comprueba los nombres de los archivos ".pf" en la carpeta C:\Windows\Prefetch. Los nombres de cada archivo .pf se crean a partir del nombre del archivo ejecutable más un hash de la ruta donde se ejecutó. Estos archivos también almacenan el número de ejecución y las fechas en que fueron ejecutados la primera y última vez, aunque extraer esta información puede requerir herramientas adicionales. Si quieres más info de prefetch visita:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Netstat

No olvidamos lo básico, aunque la info que muestra necesita de cierta búsqueda para descubrir si la IP es de Google o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Normalmente ejecuta 'Netstat -abno' y busca también números de puertos extraños con conexiones sitios externos, 25, 8080, 6667, etc.

Los parámetros netstat son:

-a Muestra todas las conexiones y puertos a la escucha.
-b Muestra el ejecutable implicado en la creación de cada conexión o puerto de escucha.
-n Muestra las direcciones y los números de puerto en forma numérica.
-o Muestra el ID de proceso propietario asociado a cada conexión.

Versión en batch

¿Qué tienes que hacer estas comprobaciones de forma rutinaria? Pues lo mejor es hacerse un archivo por lotes y alimentarlo con el argumento de nombre de host. Incluso se puede utilizar a través de una red dando los permisos adecuados en los otros equipos para una fácil evaluación remota. El siguiente script tiene como salida un informe HTML bastante decente incluyendo además información sobre el equipo evaluado:

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html
wmic /node:%1 job list full /format:htable >> c:\triage-%1.html

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hello,

The programming language "GO" is inspired by "C".
The syntax is similar to "C", so if you know to use "C" you can program in "GO" without problems.

Projection of the future, at the moment I do not see it

Regards!!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si quieres poner una dirección IP estática tienes mal la configuración de ese archivo.

Lo correcto es:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.150
netmask 255.255.255.0
gateway 192.168.1.1

                                          
Ya vimos en la You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, las nuevas características de Android 7.0 Nougat como son el cambio rápido entre aplicaciones, Pantalla dividida, Notificaciones agrupadas, Respuesta rápida, Ajustes rápidos, Doze, Direct Boot, etc.

Si somos programadores y queremos hacer pruebas de Android con sus sistemas, es recomendable virtualizarlo. Ya vimos en anterior ocasión cómo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, en este manual nos centramos en los pasos para realizarlo con el software de virtualización VMware..

Podemos descargar esta herramienta con estos enlaces:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proceso de instalación de Android 7.0 Nougat en VMware no difiere mucho del You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el cual es el siguiente:


Al ejecutar VMware debemos seleccionar la opción File > New Virtual Machine.



Veremos que se despliega la siguiente ventana:



Allí seleccionamos la opción Typical y pulsamos Next.



Allí debemos seleccionar la opción I will install the operating system later, pulsamos de nuevo Next y en la ventana desplegada seleccionamos las siguientes opciones:

• En el campo Guest operating system seleccionamos Other.

• En el campo Versión seleccionamos FreeBSD.

Pulsamos Next y en la siguiente ventana que vemos elegimos donde se ha de guardar la máquina virtual y el nombre de la misma.



Una vez definidos estos valores pulsamos Next y a continuación definimos el tamaño del disco duro y el tipo del disco duro.



Pulsamos nuevamente Next y veremos un resumen de la configuración.



Pulsamos en Finish para cerrar el asistente y podremos ver nuestra máquina virtual creada.





Ahora debemos configurar básicamente dos parámetros en la máquina virtual y para ello seleccionamos la opción Edit virtual machine settings.

En primer lugar vamos a la línea CD/DVD (IDE) y allí activamos la casilla Use ISO image file y debemos seleccionar la imagen que hemos descargado de Android 7.0 Nougat.



A continuación vamos a la línea Memory donde debemos establecer como mínimo 1GB de memoria RAM. Con estos valores definidos iniciamos el proceso de instalación de la Máquina Virtual.



El proceso es exactamente el mismo al de VirtualBox por lo cual no profundizaremos en él.




Podemos ver Android 7.0 Nougat en VMware:





Con estos sencillos pasos podemos instalar y evaluar Android 7.0 Nougat en VMware de manera segura sin afectar nuestros equipos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bienvenido @!Duda
Un poco tarde tu presentación 

Saludos!

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Te dejo otros servicios online para reparar documentos Word:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
¿Algun manual para tener doble OS? Windows y Arch Linux.

Sencillo.
Instala primero Windows (no ocupando toda la partición), y después instalas manualmente Linux haciendo las particiones manualmente.

Saludos

Lo siento pero estos libros no podemos publicarlos porque están reservados por Copyright.

Saludos

Hola @!Duda

Quizás te convenga tener ambos sistemas, ya que son muy distintos.
Puedes tener Arch Linux como sistema base y Kali Linux en una máquina virtual para cuando tengas que realizar "Pentesting".

Ojo: para usuarios novatos no recomiendo Arch Linux, es más complejo.

Saludos

Bienvenido a Undercode
Espero que puedas aprender mucho aquí.

Saludos

Bienvenido de nuevo
Me alegro de volver a verte!

Saludos

Edita de nuevo interfaces y pon de dirección IP 192.168.1.170

Reinicias interfaces y pruebas.

Uuhmm que extraño, supongo que también habrás probado activando "Replicate physical...".

Vamos a revisar otro archivo de configuración, los DNS.

Teclea: nano /etc/resolv.conf

Y dejalo así:



Guarda cambios, revisa de nuevo que tengas bien el archivo interfaces con la dirección IP estática y pruebas haciendo un ping.

Nota: la dirección IP de la virtual está en el mismo rango que la dirección de tu máquina fisica?

Saludos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Bueno te comento que pude descargar la imagen .ISO en otro computador, la puse booteable a un USB e inicié Kali en como LIVE, pero no me aparecen los archivos que tenía en mi escritorio.

¿Cómo los puedo ver?

A modo de conocimiento yo tenía dichos archivos en el usuario root en el escritorio en una carpeta (todos juntos).

Un abrazo, quedo atento a vuestra ayuda.

De antemano muchas gracias.

Cuando booteas de forma Live, es un sistema totalmente independiente al sistema que tienes, por lo tanto es normal que no aparezcan tus archivos en el escritorio.

Tienes que buscar el almacenamiento o montar la partición, para poder acceder al disco duro y sobretodo a la partición donde tienes tus archivos.

Saludos

Yo no he escuchado nada malo acerca de "cryptkeeper", no sé que tipo de vulnerabilidades puede tener, lo importante es tenerlo bien actualizado aunque si me decantaría más por "TrueCrypt" ya que además es multiplataforma.

Saludos

Configura previamente tu máquina virtual en "adaptador puente" o "bridge", no configures nada de Proxy.
Una vez seleccionado ese tipo de Red, inicias tu máquina y haces un ping 8.8.8.8 para ver si tienes conexión a Internet.



Saludos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Ya botee Kali Linux desde USB y me sigue dando lo mismo

Tambien instale las VMWare Tools y sigue igual

No es problema de la máquina virtual (VMware) como puedes comprobar... Esto es tema de tu tarjeta WiFi, que no será compatible o no estarán instalados los Drivers necesarios para hacerlo funcionar.

Saludos

Un ataque "Zero-Day" o "ataque de día 0" consiste en, conocer una vulnerabilidad desconocida y que no ha sido reportado ni arreglada.

Para encontrar una vulnerabilidad de este tipo tienes que ser hábil, y controlar bien los tipos de vulnerabilidades típicos por lo tanto antes deberías practicar un poco.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez hayas encontrado una vulnerabilidad "Zero-Day" puedes preparar el Exploit para aprovechar esa vulnerabilidad.

Saludos

El fallo es un error ortográfico.
Si te fijas  en la última línea "gateway", está escrita la dirección IP sin un espacio entre el nombre y la dirección.

Si aún así no funciona cambia 192.168.1.70 por 192.168.1.170

Saludos

Quita "hash.lst" y vuelve a probar.

Saludos