Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El objetivo de esta fase es ocultar las huellas que se suelen dejar al realizar cualquier accin. Anlisis forense.
Lo primero que hace un intruso al acceder a un sistema una vez conseguido privilegios de administrador es deshabilitar las auditoras. El programa auditpol.exe o la orden gpedit puede hacer esto mediante una orden. Al finalizar su acceso, el atacante volver a habilitar las auditoras
Csar Augusto Zrate ( c4m4l30n ) Modulo 5
Un intruso tambin borrar las alertas que muestra el visor de sucesos. Ojo, porque este proceso borrar todos los registros del visor de sucesos pero dejar un registro de que el log de sucesos ha sido borrado.'
Hay herramientas como elsave o winzaper que permiten borrar el registro de sucesos de una mquina remota siempre y cuando se disponga de los privilegios necesarios.
Existen otras herramientas ms potentes que permiten eliminar cualquier evidencia. Una de estas herramientas es Evidence Eliminator Borra la papelera, Archivos temporales, cookies, cach del navegador, historial, directorios temporales, etc.
Existen dos formas de ocultar archivos en Windows XP/2000. Atributo oculto fcil de descubrir, no? usar attrib +h [file/directory] NTFS Alternate Data Streaming (ADS) Los archivos en particiones NTFS (Windows NT, 2000 y XP) tienen una caracterstica llamada Alternate Data Streams permite enlazar un fichero oculto a un Archivo normal visible.
Los streams no estn limitados en tamao y puede haber ms de un stream enlazado a un Archivo normal.
Anexar informacin a un fichero (autor, descripcin, etc. )en forma de metadatos. Identificar si un fichero descargado de internet es peligroso o no.
Primero se crea un archivo de texto: archivo.txt Escribir algo en l. Hacemos un dir y vemos el tamao. Anexo un archivo diferente que he creado previamente: privado.txt Escribir en el cmd Hacer dir de nuevo:
type privado.txt > archivo.txt:oculto
Aparece archivo.txt:hidden.txt? No. Cunto ocupa archivo.txt? lo mismo que antes.
La pregunta del milln: Cmo se detectan? Slo se pueden detectar con una herramienta externa como LADS.exe Cmo se eliminan? Copindolo a una particin FAT y devolvindolo a la particin NTFS. Quin nos asegura que nuestro sistema no est plagado de ADSs que roban nuestros datos? Quin nos asegura que no vienen de serie con nuestro Windows 7?
Csar Augusto Zrate ( c4m4l30n ) Modulo 5
http://www.heysoft.de/en/software/lads.php
Qu es un proxy?
Qu es un proxy transparente?
programa o dispositivo que realiza una accin en representacin de otro; Su finalidad ms habitual es la de servidor proxy, que consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. combina un servidor proxy con un cortafuegos de manera que las conexiones son interceptadas y desviadas hacia el proxy sin necesidad de configuracin en el cliente, y habitualmente sin que el propio usuario conozca de su existencia. Este tipo de proxy es habitualmente utilizado por las empresas proveedoras de acceso de Internet.
Qu es un proxy annimo
tambin conocido como servidor de proxy annimo, permite a un usuario acceder a un archivo, pgina Web, o cualquier otro recurso a travs de un servidor que entrega los servicios requeridos del usuario por medio de otro servidor remoto.
www.Anonymouse.org
Proxychains: programa en Linux para navegar por una lista de proxies annimos encadenados
(/etc/proxychain.conf)
Ejemplo de uso:
proxychain telnet targethost.com proxychain nmap -sT -P0 -P 80 proxychain lynx www.google.com
Tor(www.torproject.org)
Tor software: Tor+Privoxy+Vidalia
Tor: http://www.torproject.org/docs/debian.html.en +Privoxy (127.0.0.1:8118) + Vidalia (GUI)
Puedes ejecutarlo como cliente o formar parte de la red TOR como proxy.
Probarlo e ir a www.whatismyip.com
JAP Anonimity
Bajarlo e instalarlo Anonimity on: ir a adsl4ever o a showip.com y ver mi IP pblica Anonimity off: lo mismo.
Add-ons del firefox: Switchproxy Foxyproxy TOR button configura automticamente el proxy en el firefox (activndolo y desactivndolo)