Sei sulla pagina 1di 527

Traducido por Sykrayo Espaa

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com

Traducido por Sykrayo Espaa

Hlice 1.7 para Principiantes


por BJ Gleason y Dibuj Fahey Manual Versin 03/07/2006
1

Traducido por Sykrayo Espaa

HelixManual@gmail.com

Traducido por Sykrayo Espaa

Estimado Helix usuario: Gracias por tomarse el tiempo para leer este documento. Este es un trabajo en progreso, y con suerte, usted lo encontrar til. El documento ha crecido rpidamente, y adems de ser una gua para el principiante, sino que tambin contiene materiales de referencia para la mayora de los comandos incluidos en el CD de Helix. A medida que se actualiza Helix, este manual ser actualizado, y slo han sido informados por Drew Fahey, se incluye en el CD Helix. Las actualizaciones provisionales, segn sea necesario, se publicarn en el http://www.e-fense.com sitio web. Hay varias cosas que no estn bien completado todava, pero espero que ser en las prximas revisiones. Si usted tiene algo que le gustara contribuir a este proyecto de documentacin, o si tiene alguna sugerencia, correccin, felicitaciones o quejas, por favor envelas a m en HelixManual@gmail.com. Por favor, incluya el nmero de versin del manual de la cubierta del documento, y cualquier nmero de pginas relacionadas. Mientras que yo podra trabajar en esto para siempre, y nunca tienen bastante la forma que yo quiero, llega un momento en el que no se puede postergar por ms tiempo y tienen que hacerlo por la puerta. As que para el futuro prximo, tengo la intencin de lanzar una actualizacin del manual aproximadamente cada 2 meses, mientras que todas las torceduras se estn elaborando. Algunas de las prximas actualizaciones incluyen: Documentacin de las herramientas de lnea de comandos de Windows Ms ejemplos Ms laboratorios prcticos para permitir a los usuarios practicar y perfeccionar sus habilidades Cuestiones de procedimiento forense He aprendido mucho de la hlice, y de las muchas otras herramientas forenses y sitios web que estn ah fuera. Esta es mi oportunidad de devolver un poco de lo que he tomado. Estoy deseando escuchar lo que piensas de este manual. Respetuosamente,

BJ Gleason 07 de marzo 2006, Sel, Corea Una nota sobre derechos de autor: El objetivo de este manual es para producir una nica fuente de referencia para las herramientas incluidas en el CD de Helix. Una gran cantidad de los materiales incluidos en este manual ha sido copiado de varios sitios web, y se han hecho intentos para asegurarse de que todo est bien documentado y referenciado. Si usted es propietario de los derechos del material, y tienen problemas con su inclusin en este 3

Traducido por Sykrayo Espaa

documento, por favor comunquese conmigo al llixManual@gmail.com, Y vamos a resolver el problema. Gracias por sus contribuciones, su paciencia y su comprensin.

Traducido por Sykrayo Espaa

Tabla de Contenido
Introduccin
Gracias Historial de revisiones

9
9 10

Hlice
Qu es Helix? Por Helix diferente Modos de funcionamiento El lateral de Windows El lado Linux

12
12 12 12 13 14

Conseguir Helix
Descarga de Comprobacin de la Descarga Quemar un CD con Nero Quemar un CD con Roxio CD Creator

16
16 16 17 18

Temas Forenses (ventanas laterales)


Proteccin contra escritura de los medios de comunicacin Proteccin contra escritura Hardware Proteccin contra escritura de software Validacin de proteccin contra escritura Hardware / Software

19
19 20 21 21

Helix Pantalla Principal (Windows Side)

23

Ver informacin del sistema

27

Adquirir una imagen "en vivo" de un sistema Windows mediante dd

30

Usando dd FTK Imager

30 33

Herramientas de gestin de crisis para los sistemas Windows

35

Traducido por Sykrayo Espaa

Ventanas Forense Toolchest (WFT)

37

Coleccin de informes de respuesta a incidentes (IRCR2)

40

Disco Evidencia de First Responder (FRED)

42

First Responder Utilidad (FRU)

45

SecReport

47

Md5 Generador

50

Comando de Shell

52

Rootkit Revealer

53

Recuperacin de archivos

57

PuTTY SSH

63

Captura de Pantalla

64

Messenger Password

65

Mail Password Viewer

67

Proteja Visor de almacenamiento

68

Network Password Viewer

70

Registry Viewer

71

IE History Viewer

73

Asterisk Logger

74

Traducido por Sykrayo Espaa

IE Cookie Viewer

75

Mozilla Cookie Viewer

76

Cadena de Custodia

77

Preservacin de Evidencia Digital

79

Gua de Linux Forense para principiantes

79

El examen forense de evidencia digital

80

Examinar contenido del CD-ROM y Host

81

Analizar en busca de imgenes a partir de un sistema en vivo Salir de Helix

83 85

Helix desde la lnea de comandos (Windows Side)


No Inicio de la GUI Desde un shell de comandos Herramientas disponibles desde la lnea de comandos

86
86 86 87

Helix arranque (Linux Side) Temas Forenses (Side Linux)


Proteccin contra escritura de los medios de comunicacin Configuracin de un dispositivo USB para lectura / escritura Utilizando Helix en VMWare El sistema de archivos Helix
Unionfs Los sindicatos Copia en escritura93

90 91
91 91 91 92
93

Raid Esencial Entendimiento dd Adquisicin tradicional (imagen Dead) Imagen de un Listener Netcat / Cryptcat Imaging to a Samba Server

94 94 96 97 97

Traducido por Sykrayo Espaa

Fundamentos de arranque
F1 - Ayuda y Cheat Codes Opciones predeterminadas para los diferentes modos de inicio F2 - Lenguaje y Seleccin disposicin del teclado F3 - Seleccin del modo de Splash F4 - Resolucin de la pantalla

99
100 107 108 108 108

Interfaz de usuario Helix


El escritorio Tareas comunes El Administrador de archivos

110
111 112 113

Herramientas Helix
Adepto AIR: Imagen automatizada y restauracin

130
133

137

Ropa: EnCase herramienta de adquisicin de imgenes. Perdiguero

139 141

Autopsia

144

pyFlag

147

Regviewer

149

HexEditor (GHex)

151

Xfce Dif.

152

xhfs

153

Traducido por Sykrayo Espaa

ClamAV: ClamAV Antivirus escner.

184

F-Prot

186

pyFlag

188

RAID-Montaje

188

RAID-Montaje

189

Particin-Info

190

Herramientas de lnea de comandos


2hash: MD5 y SHA1 hash paralelas. chkrootkit: buscar rootkits. chntpw: Cambie las contraseas de Windows. dcfldd: dd reemplazo del DCFL. e2recover: Recuperar archivos borrados en sistemas de archivos ext2. f-prot: F-Prot Antivirus escner. Fatback: Analizar y recuperar archivos FAT eliminados. faust.pl: Analizar elf binarios y secuencias de comandos bash. Fenris: depuracin, seguimiento, descompilacin. lugar: Carve archivos basados en encabezado y pie de pgina. ftimes: Un conjunto de herramientas para la adquisicin de datos forenses. galleta: Analizador de la galleta por Internet Explorer. visin: Indexacin y sistema de consulta. grepmail: Grep travs de buzones. logfinder.py: EFF utilidad logfinder. logsh: Iniciar la sesin de terminal lshw: Hardware Lister. mac-ladrn: ladrn de tumbas de TCT escrito en C. mac_grab.pl: e-fensa utilidad momento MAC. md5deep: md5sum recursiva con bsquedas db. ser ms astuto que: suite de deteccin de esteganografa. pasco: herramienta forense para el anlisis de Internet Explorer. rifiuti: Analizador "Papelera de reciclaje". rkhunter: Rootkit Hunter. bistur: Fast File Carver sdd: Specialized dd w / un mejor rendimiento. sha1deep: sha1sum recursiva con bsquedas

192
d b . s h a 2 5 6 e e p : s h a 1 s u m r e c u r s i v a c o n

Traducido por Sykrayo Espaa

bsquedas db. Stegdetect: suite de deteccin de esteganografa. limpiar: Secure archivo borrado.

193 199 202 204 208 209 213 221 222 235 238 265 266 275 277 279 280 281 283 284 287 291 292 293 295 296 300 303 306 309

Binarios Estticos

314

Traducido por Sykrayo Espaa

La necesidad de Binarios Estticos

314

Ventanas

314

Linux

315

Solaris

316

Preguntas ms frecuentes
Obtener ms ayuda

317
318

Los laboratorios de prcticas


Lab 1a - Crear una imagen de un disquete sospechoso (Windows, Adquisicin vivo, dd) Lab 1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Lab 2 - Crear un disquete de un sospechoso de imagen (Windows, FTK Imager)

319
320 323 328

Apndice 1 - Samba archivo de configuracin Forense Apndice 2 - Comandos de Linux Referencias

332 333 339

Traducido por Sykrayo Espaa

Introduccin
e-fensa, Inc. desarroll Helix como una herramienta interna para proporcionar la capacidad de adquirir imgenes forenses de sonido de muchos tipos de discos duros y particiones de los sistemas que ejecutan configuraciones nicas, tales como arrays RAID. Rpidamente creci para incluir a muchos de cdigo abierto, y un poco de cdigo cerrado, herramientas para los investigadores forenses de e-fensa, y se convirti en la norma interna de los sistemas de imagen "en vivo", as como los sistemas que ejecutan configuraciones RAID. Esto nos ha permitido tratar fcilmente con el tema en el mundo corporativo que algunos sistemas no podran ser tomadas fuera de lnea para hacer una adquisicin forense ms tradicional. Como la mayora de los sistemas corporativos ejecutan Microsoft Windows, hemos desarrollado una funcionalidad de Windows para facilitar la captura de datos voltiles sistemas "en vivo de Windows, as como para llevar a cabo una adquisicin forense mientras el sistema se mantuvo en lnea. Helix primero se dio a conocer el 23 de noviembre 2003. Su popularidad creci rpidamente, y Rob Lee comenz a usarlo en SANS para ensear la pista forense. Helix ha estado yendo fuerte desde entonces y ha sido descargado en innumerables ocasiones. Muchas agencias gubernamentales y la aplicacin de la Ley comunidad en todo el mundo han recurrido a Helix como su nivel de adquisicin forense debido a su funcionalidad y la rentabilidad (que se puede superar GRATIS)! El Centro Nacional de Delitos de Cuello Blanco (NW3C) ha optado por utilizar Helix para ensear Aplicacin de la ley forense de Linux en CD de arranque. El nombre Helix fue elegido por ninguna razn en particular aparte de que encaja con el sonido del nombre Linux. Tambin desde forense es una ciencia en el smbolo DNA helix pareca aplicarse. As Helix naci. Helix es un trabajo en progreso y no est destinado a ser utilizado por personas sin adecuada respuesta a incidentes y / o capacitacin forense. Mientras que muchos comandos complejos se simplifican con una interfaz grfica de usuario, que es responsabilidad del usuario final para saber lo que esos comandos estn haciendo para que no elimine inadvertidamente pruebas, de modo que si se llama a declarar, no pareces un idiota cuando usted no puede explicar sus acciones en el estrado de los testigos. Helix es liberado bajo los trminos de la Licencia Pblica General GNU, versin 2. Helix se distribuye tal como se ofrecen SIN NINGUNA GARANTA, ni la garanta implcita de COMERCIALIZACIN o IDONEIDAD PARA UN PROPSITO PARTICULAR. Vea la Licencia Pblica General de GNU para ms detalles.

Gracias
Este manual es una compilacin de muchas fuentes. Mientras que la mayora de esta informacin se puede encontrar en otros lugares en el Internet, quera tirar de ellos al conjunto en un solo manual de referencia para mis alumnos, y para cualquier persona que est interesado en aprender ms acerca de la informtica forense. La lista de las personas que forman parte de esta lista es probablemente incompleta. Si usted piensa que alguien se pierde, o si he interpretado mal a alguien, por favor, hgamelo saber ... 10

Traducido por Sykrayo Espaa

Dibuj Fahey - Creador de la hlice y el Manual Helix Klaus Knopper - creador de Knoppix Nirsoft - los desarrolladores de muchos de los instrumentos basados en Windows Jesse Kornblum, Harlan Carvey, Kevin Mandia, Chris Prosise, Matt Pepe, Brian Carrier Y a los muchos otros que han contribuido con su tiempo y sus esfuerzos en desarrollo de estas herramientas.

11

Traducido por Sykrayo Espaa

Historial de revisiones
Versin Detalle s

07/03/2005

27/12/2005 10/05/2005

Liberacin retardada para que coincida con la nueva versin 1.7 Helix Fixed Descripcin FRU utilizar el Project Server Forense Actualizado a algunas de las capturas de pantalla en las secciones Linux Aadida descripciones de las principales herramientas en el lado de Linux. Aadido falta apndices Aadido iconos para cada herramienta Varias correcciones de ortografa Agreg "Temas forenses", tanto para el Windows y Linux lados. Aadido Lab1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Aadido hardware y soporte de software escriben funciones de proteccin. Continuando la actualizacin referencias Aadido nuevo Logo Helix Aadido Seccin "Helix Cmo" Agreg "Uso Helix en VMWare" Seccin Aadido Seccin "Binarios Estticos" Aadido FAQ Aadido opciones de arranque helicoidales, los cdigos de trucos Aadido descripciones de los paquetes individuales para el lado de Linux Primera pblica de un disquete de un sospechoso de imagen (Windows, FTK Imager) Aadido versin Lab 2 - Creacin Prueba de concepto con Drew Fahey

Gracias a todos los depuradores! Harlan Carvey Chris Cohen dibuj Fahey Ian Marks

12

Traducido por Sykrayo Espaa

Consejos para principiantes


Helix es una herramienta muy poderosa. Pero con un gran poder conlleva una gran responsabilidad, y como forense potencial investigador, es su responsabilidad de aprender a utilizar esta herramienta correctamente. Se espera que si se ha descargado y ha creado un disco de arranque Helix, y que tiene un inters en la ciencia forense digital. Pero al igual que se puede utilizar un martillo para construir una casa, no se puede construir una casa simplemente usando un martillo. Para construir una casa con xito, necesita arquitectos, abogados, trabajadores de la construccin, muchas herramientas, equipos e inspectores. Lo mismo es cierto en el campo de la ciencia forense digital. Antes de examinar cualquier sistema, es necesario asegurarse de que tiene permiso para examinar ese sistema. Es necesario conocer los aspectos legales de la coleccin, documentacin y preservacin de evidencia digital. Usted necesita saber cmo utilizar las herramientas de trabajo (como los que en el CD Helix). Errores simples y buenas intenciones pueden destruir completamente la evidencia digital. Se recomienda encarecidamente que los investigadores aspiran a aprender sobre ciencia forense digital, y la prctica en los sistemas controlados antes de tratar de obtener pruebas de un sistema real. Algunos libros recomendados en la ciencia forense digital incluyen: Carrier, B. (2005). Anlisis forense del sistema de archivos. Boston, Mass.; London: AddisonWesley. Carvey, H. A. (2005). Forense de Windows y de recuperacin de incidentes. Boston: Addison-Wesley. Casey, E. (2004). Pruebas y delito informtico digital: la ciencia forense, la informtica, y la Internet (2 ed.). Amsterdam; Boston: Academic Press. Farmer, D., y Venema, W. (2005). Descubrimiento Forense. Upper Saddle River, NJ: AddisonWesley. Jones, K. J. (2005). Anlisis forense digital real: la seguridad informtica y la respuesta a incidentes. Indianpolis, IN: Addison Wesley Professional. Prosise, C., y Mandia, K. (2003). Respuesta y la informtica forense de incidentes (2 ed.). New York, New York: McGraw-Hill/Osborne. Schweitzer, D. (2003). Respuesta a incidentes: informtica forense toolkit. Indianapolis, IN: Wiley. Salomn, M., Barrett, D., y escoba, N. (2005). Informtica forense JumpStart. San Francisco: Sybex. Vacca, J. R. (2005). Informtica forense: Crime Scene Investigation ordenador (2 ed.). Hingham, Massachusetts: Charles River Media. Tambin recomendara que se crea un laboratorio casero en el que practicar con estas herramientas. Recomiendo 2 sistemas con Windows 2000 o XP, con una conexin de red entre ellos, ya sea a travs de un interruptor o un cable cruzado. Dado que algunos de estos datos de transferencia de herramientas a travs de la red, asegrese de desactivar cualquier firewall, como la incorporada en XP Service Pack 2, que puede interferir con las conexiones de red. Me gustara marcar una mquina como "sospechoso", y en el otro como "forense". Para experimentar con imgenes de disco, recomiendo tener mquinas con disquetes, y el sistema sospechoso debera tener un pequeo disco duro (4 GB) o menos, ya que la copia duros ms grandes en una red puede llevar mucho tiempo y requerir mucho de espacio en el sistema forense. Para que el sistema forense, recomiendo tener dos discos duros (o al menos dos particiones) - una para el 13

Traducido por Sykrayo Espaa

sistema operativo y otro para las pruebas recogidas.

14

Traducido por Sykrayo Espaa

Hlice
Qu es Helix? Helix es una adaptacin de la norma Knoppix1 distribucin. Como tal, se lo debe todo a la labor ya realizada por Klaus Knopper y inspira en gran medida del trabajo realizado por varias personas en www.knoppix.net. De hecho, knoppix.net es el primer lugar para ir si usted est buscando informacin sobre cmo personalizar. Hay muchas otras distribuciones LiveCD disponibles que han existido ms de Helix, pero muchos de ellos ya no se mantienen o no se actualizan de forma bastante frecuente. Muchas de las ideas originales de Helix se origin a partir de estas distribuciones: Knoppix Knoppix-STD2, Fire3, Morphix4, Insert5 Por Helix diferente Helix es una versin muy modificada de Knoppix. Sin embargo, aunque hay muchas variantes en el Knoppix original, Helix es diferente, ya que gran parte del cdigo ha sido ajustado para fines forenses. Parte del cdigo ha sido elaborado a partir de cero y es una distribucin dedicada exclusivamente para la respuesta a incidentes y anlisis forense. Algunos de los principales cambios Helix incorporado en Knoppix son: 1. Helix NUNCA utilice el espacio de intercambio se encuentra en un sistema - incluso si se le obliga. 2. El montador Helix crear unidades que encuentra, pero obligar a un punto de montaje para ser ro, noatime, noexec, nodev, noauto, user 3. Helix ve a todos los sistemas de ficheros identificados por Knoppix (ext2, ext3, vfat, ntfs), pero tambin ver xfs, resier y jfs y mucho ms. 4. Helix incorpora tantos forense de cdigo abierto / herramientas de respuesta a incidentes que se podan encontrar. 5. Alta capacidad de "Knock y conversaciones." Esta caracterstica permite a un oficial de libertad condicional a una vista previa de un sistema de imgenes grficas que pueden violar la libertad condicional. 6. Entorno de ejecucin de Windows-side. 7. Aadido un sistema de archivo de superposicin para permitir que se escribe en el CD. 8. Actualizado por lo menos cada 3 meses para mantener al da. Modos de funcionamiento Helix funciona en dos modos diferentes - Windows y Linux. Helix es un entorno de arranque de Linux forense de sonido muy similar a Knoppix, pero mucho ms. El "otro lado" de Helix, una funcin ejecutable de Microsoft Windows, contiene aproximadamente 90 MB de las herramientas de respuesta a incidentes para Windows. La razn detrs de esto es que la mayora de incidentes requiere la interaccin con un sistema de Windows Live, el sistema operativo dominante en el mercado de las computadoras.
1 2 3

http://www.knopper.net/knoppix/index-en.html http://www.knoppix-std.org/ http://fire.dmzs.com/

15

Traducido por Sykrayo Espaa

4 5

http://www.morphix.org/modules/news/ http://www.inside-security.de/insert_en.html

16

Traducido por Sykrayo Espaa

Como tal Helix se divide en la parte de respuesta en directo y el lado arranque Linux OS. Windows: en el modo de Windows, que se ejecuta como una aplicacin de Windows estndar que se utiliza para recopilar informacin de "en vivo" (sigue encendido y conectado) del sistema de Windows. Debe tenerse en cuenta, que cuando un sistema de destino es vivo, su estado est cambiando constantemente. No importa qu herramientas se utilizan en un sistema vivo, se le perturbe el estado del sistema en vivo - incluso haciendo "nada" cambia el estado de un sistema en vivo, ya que todava se est ejecutando el sistema operativo. Sin embargo, como apagar el sistema puede ocasionar la prdida de informacin potencialmente importante forense, las herramientas se pueden usar para recoger informacin voltil. Tambin se puede utilizar para recopilar informacin fuera de los sistemas que no se puede apagar, como los servidores y otros recursos crticos que no se puede apagar. Por ltimo, la parte de Windows de Helix se puede utilizar un entorno forense porttil, ya que proporciona acceso a muchas ventanas basado utilidades forenses. Linux: En el modo de Linux, es un sistema operativo de arranque, autnomo que se puede utilizar para el anlisis en profundidad de los sistemas de "muertos" (apagada). Cuando se inicia la hlice, que se ejecuta por completo desde el CD, y slo monta los discos duros en modo de slo lectura, por lo que no se puede modificar. Adems de las herramientas estndar de Linux, esta parte incluye numerosas herramientas de anlisis forense que se puede utilizar para examinar el sistema de destino. El lateral de Windows Para obtener una respuesta en vivo en cualquier entorno de Windows, se puede simplemente inserte el CD Helix y "explorar" los directorios en el CD para los archivos binarios ambiente necesario. Los binarios son estticos por lo que se ejecutar desde el CD sin necesidad de ninguna librera adicional y o archivos. Esto hace que un CD de confianza perfecto para una respuesta a incidentes en los que no se puede confiar en las herramientas o programas de los sistemas. La otra opcin que tienes, al menos en un entorno Windows, es el Helix.exe. Normalmente se cargar automticamente el men si no se desactiva de ejecucin automtica. Correr Helix.exe o depender de ejecucin automtica, aparecer el medio ambiente Helix Windows en el que varias opciones vuelven supuesto available.Of estas opciones no son nuevas, un usuario podra duplicar manualmente. El entorno de la hlice simplemente pone las opciones juntos de una manera forense seguro, fcil de usar,. Empecemos por la diseccin de la parte de respuesta en directo de Helix. Las piedras angulares de la parte de respuesta en directo son las herramientas. Helix contiene binarios estticos para Linux, Solaris y Windows que utilizan GNU utilidades y herramientas Cygwin. Hay varias otras herramientas para incluir George de Garners Forense Adquisicin Utilidades suite, herramientas de Sysinternal, herramientas de cdigo abierto de Foundstone, el depurador de Windows, Windows Forense Caja de herramientas, y muchos more.All de estas herramientas han sido probadas y se coloca en la hlice con una interfaz grfica de usuario. El Helix GUI slo funcionar en un entorno de Windows Live. Se ha probado en Windows 98SE, Windows NT4, Windows 2000 y Windows XP. Existen ligeras diferencias en el funcionamiento de la unidad de CD Helix en cada uno. La nota ms importante a recordar es que desde que 17

Traducido por Sykrayo Espaa

Windows es necesario para ejecutar la interfaz anterior, muchos archivos DLL sern utilizados por la hlice del sistema operativo. Esto no es un problema, sin embargo, siempre y cuando usted es consciente de ello. Algunos de los archivos DLL que se utilizarn se muestran en la tabla a la derecha.

18

Traducido por Sykrayo Espaa

Estos archivos DLL no se incluyeron en el CD debido a la naturaleza de las diferentes versiones de Windows. No hay manera de construir con la corriente de tener el ejecutable de la hlice no acceder a la construida en archivos DLL de Windows. La respuesta a incidentes / forenses herramientas incluidas en el CD Helix son autosuficientes - la mayora de ellos utilizan sus propias bibliotecas y no las bibliotecas y / o archivos desde el sistema en funcionamiento. Helix puede y usar otros archivos DLL, dependiendo del sistema que se est ejecutando. Los otros archivos DLL que se utilizan son enganches al hardware.So especfico que usted debe tener en cuenta otros archivos que usted puede tocar durante el uso de Helix en un entorno real. Algunas de las nuevas caractersticas de la hlice en la parte de Windows incluyen la capacidad de entrada del usuario para algunas de las herramientas ms importantes, como Windows Forense Toolchest.Prior a la versin 1.5 de la entrada era esttico y no puede ser cambiado sin remasterizar el CD Helix. Mientras que muchas de las herramientas ms comunes se puede acceder a travs de la interfaz grfica de usuario Helix, muchas ms herramientas se puede acceder a travs de una herramienta de comandos forense. Muchas de estas herramientas se enumeran en la pgina siguiente, sin embargo, ya que la hlice se actualizan a menudo, siempre se puede comprobar en la carpeta / IR en el CD de Helix para ver qu herramientas estn incluidos. El lado Linux Uno de los mayores beneficios de la hlice es el entorno de arranque. Helix arrancar en todas las arquitecturas x86 que constituyen la mayora de las computadoras en el mundo. Es por esta razn por la que la hlice para el futuro inmediato se mantendr en un CDROM. Casi todos los ordenadores en el mundo tiene un CD-ROM, pero la mayora no tienen DVD, etc Mientras derivados como Helix USB se obtendrn, es ms estable en la plataforma CD. Helix, como Knoppix, se iniciar en un autnomo entorno Linux. Este entorno ha sido ajustado para fines forenses. Si bien hay muchas distribuciones de Knoppix como Knoppix-STD, Helix slo se concentra en la respuesta a incidentes y anlisis forense.

Archivos DLL utilizados por la hlice en Windows


C: \ WINDOWS \ system32 \ advapi32.dll C: \ WINDOWS \ system32 \ apphelp.dll C: \ WINDOWS \ system32 \ comctl32.dll C: \ WINDOWS \ system32 \ comdlg32.dll C: \ WINDOWS \ system32 \ CRYPT32.DLL C: \ WINDOWS \ system32 \ Dnsapi.dll C: \ WINDOWS \ system32 \ dsound.dll C: \ WINDOWS \ system32 \ gdi32.dll C: \ WINDOWS \ system32 \ Imagehlp.dll C: \ WINDOWS \ system32 \ kernel32.dll C: \ WINDOWS \ system32 \ ksuser.dll C: \ WINDOWS \ system32 \ midimap.dll C: \ WINDOWS \ system32 \ msacm32.dll C: \ WINDOWS \ system32 \ msacm32.drv C: \ WINDOWS \ system32 \ msasn1.dll C: \ WINDOWS \ system32 \ Msctf.dll C: \ WINDOWS \ system32 \ mslbui.dll C: \ WINDOWS \ system32 \ msvcrt.dll C: \ WINDOWS \ system32 \ netapi32.dll C: \ WINDOWS \ system32 \ ntdll.dll C: \ WINDOWS \ system32 \ ole32.dll C: \ WINDOWS \ system32 \ OLEAUT32.dll C: \ WINDOWS \ system32 \ oledlg.dll C: \ WINDOWS \ system32 \ OLEPRO32.DLL C: \ WINDOWS \ system32 \ rasadhlp.dll C: \ WINDOWS \ system32 \ Rpcrt4.dll C: \ WINDOWS \ system32 \ Secur32.dll C: \ WINDOWS \ system32 \ Setupapi.dll C: \ WINDOWS \ system32 \ SHELL32.dll C: \ WINDOWS \ system32 \ SHLWAPI.dll C: \ WINDOWS \ system32 \ USER32.dll C: \ WINDOWS \ system32 \ uxtheme.dll C: \ WINDOWS \ system32 \ Version.dll C: \ WINDOWS \ system32 \ wdmaud.drv C: \ WINDOWS \ system32 \ Winmm.dll C: \ WINDOWS \ system32 \

19

Traducido por Sykrayo Espaa

winspool.drv C: \ WINDOWS \ system32 \ Wintrust.dll C: \ WINDOWS \ system32 \ ws2_32.dll C: \ WINDOWS \ system32 \ ws2help.dll C: \ WINDOWS \ system32 \ wsock32.dll

20

Traducido por Sykrayo Espaa

Herramientas Helix
CONDUCIR DE ADQUISICIN: CYGWIN Herramientas: (dd, md5sum, sha1sum, tee, split) FAU por George Garner: (dd, nc, md5sum, volumen-dump, limpie) GNU Herramientas: (dd, md5sum, sha1sum, tee, split) Respuesta a incidentes HERRAMIENTAS: Windows NT: (cmdnt.exe, doskey.exe, ipconfig.exe, ...) Windows 2000: (cmd2k.exe, doskey.exe, netstat.exe, net.exe, ...) de Windows XP: (cmdxp.exe, doskey.exe, ipconfig.exe, ...) OTRAS HERRAMIENTAS: Cygwin: (versin 2.427) Somarsoft: (DUMPEVT, DumpSec, dumpreg) WFT: (Versin: v1.0.03 (20.09.2003) por Monty McDougal) getinfo: (Versin: 2.3.10 por Alexander Kotkov) Microsoft Herramientas de depuracin: (Versin: 6.2) GNU-Win32 Static-Binarios Linux Static-Binarios Solaris Static-Binarios De Foundstone herramientas de cdigo abierto: AFind HBusque SQLScan fileWATCH Auditados MessengerScan SuperScan4 galleta Franciscan DACLchk a MyDoomScanner NetSchedScan Visin pasco agresor rifiuti DSScan RPCScan2 bintext showin FPipe Sfind bopping sl FILESTAT SNScan ddosping trucha

Sysinternals Open Source HERRAMIENTAS: AccessEnum NTFSInfo Autorunsc psloglist DiskView Regmon LiveKD PsPasswd EFSDUMP TDIMON procexp psshutdown Filemon TOKENMON psexec PsSuspend HOSTNAME TCPView PsGetSid cuerdas LogonSessions Autoruns pskill Tcpvcon

NTSECURITY herramientas de cdigo abierto: browselist gsd promiscdetect dumpusers listmodules pstoreview efsview lns winfo etherchange macmatch winrelay filehasher periscopio gplist pmdump

PERL HERRAMIENTAS DE HARLEN Carvey: anu nci servicio os bho parti cipac in finfo sigs KeyTime ver derechos windata

21

Traducido por Sykrayo Espaa

Conseguir Helix
Helix est disponible como una descarga gratuita imagen ISO de http://www.e-fense.com/helix/. De la pgina de descarga http://www.e-fense.com/helix/downloads.php, Usted tendr la opcin de espejos sitios desde donde se puede descargar el archivo. Para obtener la mejor respuesta y descarga ms rpida, trate de elegir un servidor cercano a usted. Descarga de Si bien es posible descargar el archivo de imagen con el navegador, se recomienda utilizar una descarga acelerar como Download Express (http://www.metaproducts.com/DE.html), Download Accelerator Plus (http://www.speedbit.com /) O GetRight (http://www.getright.com/) Para asegurarse de que el archivo de gran tamao, que es aproximadamente 700MBs, descargas correctamente. Estas utilidades se pueden reanudar las descargas que se interrumpen, y puede archivos de gran tamao del segmento y descargar simultneamente los diferentes segmentos para transferencias ms rpidas. Comprobacin de la Descarga Despus de descargarlo, pero antes de que se quema en un CD, usted debe comprobar que el archivo se ha descargado correctamente. En la pgina de descarga es una firma MD5 del fichero. Para la hlice 1,7 12-07-2005 liberacin, el valor MD5 es 90d751e1be36ee24025d8a635f2a9e1d. U s t e d debe utilizar un generador de MD5 basado en Windows o DOS para asegurarse de que el archivo que ha descargado tiene el mismo firma. Si incluso un solo bit es diferente, se generar un MD5 diferente. Si los valores son iguales, muy bien, ahora se puede grabar en un CD. Si los valores son diferentes, usted debe tratar de descargar el archivo de nuevo. Algunos usuarios han reportado tener que descargar el archivo en varias ocasiones antes de que los valores de MD5 igualados. Un poco de mano herramientas MD5 para Windows es WinMD5 de Softgears. http://www.softgears.com/WinMD5.html. Es gratis, y no tiene que ser instalado. Simplemente descomprima y ejecute el archivo WinMD5.exe. En las ventanas MD5, puede navegar usando el botn "..." para encontrar donde se encuentra el archivo descargado. Haga clic en el botn "Mostrar MD5" para generar la firma MD5 para el archivo. Debido al tamao del archivo, es posible que tome un momento para el valor a mostrar. Este valor debe coincidir con el valor MD5 de la website.If los valores son los mismos, que ahora est listo para grabar el CD. 22

Traducido por Sykrayo Espaa

Quemar un CD con Nero El archivo ISO Helix. Es una copia de el CD hlice. Usted no slo debe copiar el archivo en un CD, usted tiene que grabar un CD con la imagen contenida en el archivo ISO.. Para ello, normalmente, seleccione una opcin en el software de grabacin llamado algo as como "Grabar imagen ..." o "Crear CD de imgenes ". Con Nero Burning ROM, seleccione la opcin "Recorder" en el men, y seleccione "Grabar imagen ...".

Seleccione la imagen. ISO que ha descargado y haga clic en "Open".

En este punto, simplemente haga clic en "Grabar" y Nero crear el CD Helix de la imagen ISO.. Una vez que el CD es expulsado al final del proceso de grabacin, usted tendr un CD arrancable Helix. Para obtener ms informacin acerca de Nero, visite http://ww.nero.com/.

23

Traducido por Sykrayo Espaa

Quemar un CD con Roxio CD Creator El Roxio CD Creator puede crear un CD desde un archivo ISO. El proceso de instalacin asocia automticamente. Archivos ISO en el Creador EasyCD. Para obtener ms informacin, visite: http://www.roxio.com. Desde el Explorador de Windows, haga clic derecho en el archivo Helix. ISO que ha descargado y haga clic en Abrir. En la configuracin de la creacin del CD cuadro de dilogo, seleccione el disco en vez de la seccin Mtodo de escritura para los mejores resultados. Haga clic en Aceptar para escribir la imagen al CD. Comprobacin del CD Una vez que el CD se quema, se puede comprobar de nuevo. Por lugar en el CD en un CD-ROM de arranque, una vez que aparezca el men de inicio de Helix, puede utilizar la opcin TestCD para asegurarse de que el CD se ha creado correctamente. Dependiendo de la velocidad de la unidad de CD, puede tardar algn tiempo en completarse. Durante el proceso de arranque, Helix comprobar todos los archivos para verificar es el valor MD5. Cuando se hace la comprobacin, se mostrar el mensaje "Todo se ve bien", y luego continuar con el inicio en el medio ambiente Helix.

24

Traducido por Sykrayo Espaa

Temas Forenses (ventanas laterales)


Proteccin contra escritura de los medios de comunicacin Para asegurar que los medios evidencias digitales no se modifica, antes de que se coloca en un sistema de duplicacin, debe estar en "Slo lectura", "bloqueado" o "proteccin contra escritura", para evitar la modificacin accidental. De forma predeterminada, Windows configurado todos los dispositivos como de lectura / escritura, por lo que se puede modificar fcilmente. El lado de Linux de arranque de la hlice se monta todos los medios de comunicacin como de slo lectura. Algunos medios de comunicacin han incorporado en el hardware de proteccin contra escritura opciones, que se debe utilizar. Si el medio no tiene proteccin contra escritura opciones, se deben utilizar otros medios (equipos de proteccin contra escritura bloqueadores son preferibles a software). 5.25 disquete: 5,25 disquetes tienen una pequea muesca. Si muesca que est abierto, el disco puede ser modificado. Para proteger contra escritura del disquete, cubra la ranura con una cinta adhesiva transparente, como cinta aislante, ya que algunos unidades utilizan la deteccin mecnica u ptica de la muesca. Imagen tomada de Computer Hope (2006b). 3.25 disquete: 3,25 disquetes tienen una pequea ventana con un control deslizante en el mismo. Si el control deslizante bloquea el agujero, el disco se puede modificar. Traslado de la diapositiva para que el agujero est expuesto ser de proteccin contra escritura del disco. Algunos fabricantes quitar fsicamente el control deslizante de distribuciones de software para evitar que se sobrescriban accidentalmente. Imagen tomada de Computer Hope (2006a). Unidades Zip: Las unidades Iomega Zip tienen la opcin de proteccin contra escritura de software, pero el software Zip deben ser cargados, y es probable que modifica el contenido de la unidad. Sin embargo, las ltimas unidades USB 750 MB no pueden escribir a 100MB discos, por lo que estn protegidos contra escritura cuando se utiliza en las unidades de 750 MB. Si se utiliza una unidad Zip USB, se recomienda el uso de un bloqueador de escritura de hardware como UltraBlock puente forense USB Digital de Inteligencia. MMC / SD (Multimedia Card / Secure Digital): Algunas tarjetas MMC / SD disponen de un interruptor en el lado a proteger. Estn habilitadas para escritura por defecto. Imagen tomada de la sala de estar (2006). 25

Traducido por Sykrayo Espaa

Sony Memory Stick: El dispositivo de memoria Sony tiene un interruptor de bloqueo en la parte inferior. Se escritura habilitada de forma predeterminada. Imagen tomada de MemoryStick.com (2006) Tarjetas de memoria flash Se recomienda el uso de un hardware de escritura bloqueador, como lector de tarjetas Forense Digital de inteligencia que puede leer los siguientes formatos de tarjetas multimedia: Tarjeta Compact Flash (CFC), Microdrive (MD), tarjeta Memory Stick (MSC), tarjeta Secure Digital Memory Stick Pro (MS Pro), Smart Media Card (SMC), Tarjeta xD (xD), (SDC) y MultiMedia Card (MMC).

26

Traducido por Sykrayo Espaa

USB Thumb Drive: Algunas unidades flash USB tienen un interruptor de proteccin contra escritura incorporado a ellos. A veces son empotradas y difciles de cambiar. Muchos pulgar unidades USB por lo que no dispone de interruptor de proteccin contra escritura. Imagen tomada desde NuLime.com (2006). Dispositivos USB: Se recomienda usar un bloqueador de escritura de hardware como UltraBlock puente forense USB Digital de Inteligencia. IDE / SATA / SCSI: Se recomienda el uso de un bloqueador de escritura de hardware tales como Ultrablock de Inteligencia digital. Otros dispositivos: Si el dispositivo no dispone de una funcin de proteccin contra escritura, el dispositivo debe estar protegido por hardware (preferido) o software. La parte arrancable del CD Helix monta todas las unidades como protegida contra escritura por defecto. Proteccin contra escritura Hardware Hay numerosos bloqueadores de escritura de hardware disponibles de muchas fuentes. Estos estn diseados y probados para que pueda montar y acceder a los medios de comunicacin sin modificarlo. Hay bloqueadores de escritura de tres dispositivos principales: Discos duros, unidades flash y dispositivos USB. Mientras que los tres dispositivos ilustrados son de la Inteligencia digital (http://www.digitalintelligence.com/), hay varias empresas que producen dispositivos similares. El software para estos dispositivos se actualizan regularmente, los usuarios deben asegurarse de que estn utilizando la versin ms reciente. Discos Duros: Ultrablock "El UltraBlock-IDE es un FireWire / USB a paralelo Junta puente IDE con proteccin contra escritura forense. El UltraBlock-IDE se puede conectar a su ordenador porttil o de escritorio mediante el FireWire-A (400 Mb / s), el nuevo FireWire-B (800 Mb / s), o la interfaz USB 1.x/2.0. El UltraBlock-IDE est provisto de proteccin contra escritura activada de forma predeterminada. Mediante la conexin de una unidad sospechosa al UltraBlock-IDE, puede estar seguro de que no escribe, modificaciones o alteraciones se producen en la unidad adjunta "(Inteligencia Digital, 2006b). Tambin existen versiones de la Ultrablock disponible para SCSI y SATA. Flash Drives: Lector de tarjetas Forense "Los forenses Ultrablock Lectores de tarjetas estn disponibles como un conjunto: Un slo lectura y una lectura-escritura. La unidad de slo lectura se debe utilizar para la adquisicin forense de la informacin encontrada en multimedia y tarjetas de memoria. La

Traducido por Sykrayo Espaa

unidad de lectura y escritura se incluye para proporcionar la capacidad de escribir en tarjetas de memoria para la prueba o validacin. El forense Lectores de tarjetas se pueden conectar directamente a un puerto USB 2.0 (o

Traducido por Sykrayo Espaa

USB 1.x) de su estacin de trabajo o porttil "(Inteligencia Digital, 2006a). Dispositivos USB: Puente forense USB "El UltraBlock USB Write Bloqueador apoya USB2.0 de alta velocidad (480 Mbit / s), USB 1.1 Full-Speed (12 Mbit / s) y dispositivos de baja velocidad (1,2 Mbit / s) que se ajuste al de almacenamiento masivo USB" a granel - slo "especificacin de la clase. El UltraBlock USB Write Bloqueador trabaja con unidades USB pulgar, discos USB externos, incluso cmaras basadas en USB con capacidad de lectura de tarjetas. "(Inteligencia Digital, 2006c) Proteccin contra escritura de software Aunque no del todo probado desde el punto de vista forense, Windows XP, Service Pack 2, Microsoft ha creado una forma de proteccin contra escritura de dispositivos USB (Hurlbut, 2005). Este mtodo requiere realizar cambios en el registro, sin embargo, hay servicios disponibles para que estos cambios se realizan de forma automtica. Para obtener ms informacin al respecto, consulte el apartado "Cmo deshabilitar el uso de dispositivos de almacenamiento USB" en la http://support.microsoft.com / default.aspx scid = kb; ES-ES; 823732 Validacin de proteccin contra escritura Hardware / Software Este proceso se basa en el Centro Nacional de (SNCF) proceso de validacin paso Ciencias Forenses 5 para las pruebas de los dispositivos de proteccin contra escritura (Erickson, 2004). Originalmente fue diseado para probar el XP SP2 USB software bloqueador de escritura de Windows, pero se ha adaptado para probar el hardware y / o bloqueadores de escritura de software. Paso # 1 - Preparar los medios de comunicacin a) Conecte el soporte de almacenamiento que pondr a prueba con la estacin de trabajo forense en el modo de escritura habilitada. b) Limpie los medios de comunicacin - validar que este ha sido sucsessful. c) Dar formato a los medios de comunicacin con un formato de archivo de su eleccin. d) Copia de una cantidad de datos a los medios de comunicacin. e) Eliminar una seleccin de estos datos de los medios de comunicacin. f) En el escritorio de la estacin de trabajo forense crea 3 carpetas. Llame a estos Paso 1, Paso 2 y el Paso 5. g) La imagen de los medios en la carpeta Paso 1 y anote el hash MD5. Paso # 2 - Prueba de los medios de comunicacin a) Retire y vuelva a colocar los medios de prueba en su estacin de trabajo 21

Traducido por Sykrayo Espaa

forense. b) Copia de algunos datos a los medios de comunicacin. c) Suprimido una seleccin de estos datos de los medios de comunicacin. d) La imagen de los medios en la carpeta Paso 2 y anote el hash MD5. e) Validar que este valor hash es diferente'''' a la producida en el paso # 1.

22

Traducido por Sykrayo Espaa

Paso # 3 - Activar el dispositivo de bloqueo de escritura a) Retire el papel de la estacin de trabajo forense. b) Fijar y / o activar el dispositivo de proteccin contra escritura. c) Siga los procedimientos de activacin especficos para el bloqueador especfico. Paso # 4 - Probar el dispositivo de bloqueo de escritura a) Introduzca la tarjeta en la estacin de trabajo forense. b) Tratar de copiar archivos en los medios de comunicacin. c) Tratar de eliminar los archivos de los medios de comunicacin. d) Trate de formatear el soporte. Paso # 5 - Verifique que no haya cambios en los medios de comunicacin a) Imagen de los medios de comunicacin en la carpeta Paso 3 y anote el hash MD5. b) Validar que este hash MD5 es la misma'''' como el hash MD5 de la Etapa # 2.

23

Traducido por Sykrayo Espaa

Helix Pantalla Principal (Windows Side)


Helix funciona en dos modos, un lado de Windows, y un entorno de arranque de Linux. El lado de las ventanas se puede utilizar para llevar a cabo una evaluacin preliminar para ver si hay alguna que merece investigacin adicional del sistema. Tambin se puede utilizar para capturar sistema que no se puede apagar o fuera de lnea para los periodos prolongados de tiempo se necesita para realizar una duplicacin forense. Nota: Al realizar una vista previa en vivo de un sistema, muchas de las acciones tomadas pueden y modificar la informacin de la mquina sospechosa. Este mtodo slo debe utilizarse cuando el sistema no puede ser tomado fuera de lnea. Ejecucin de la interfaz grfica de usuario de interfaz de Windows Si se activa las caractersticas de ejecucin automtica de CD (que es el valor predeterminado de Windows), debe aparecer una ventana de advertencia Helix. Si la ejecucin automtica est desactivada, puede ejecutar Helix haciendo doble clic en el archivo helix.exe en el CD.

El usuario puede seleccionar el idioma predeterminado que Helix usar a travs del cuadro desplegable. Ingls es el predeterminado, pero el francs, el alemn y el italiano tambin estn

24

Traducido por Sykrayo Espaa

disponibles.

25

Traducido por Sykrayo Espaa

Para utilizar Helix, debe leer primero la advertencia. Como se ha sealado en varias ocasiones en el manual, el uso de la hlice en un entorno real har cambios en el sistema - que es el de los riesgos inherentes a una situacin real de respuesta. Pero recuerde, slo insertar el CD se ha modificado el sistema - incluso slo dejando el sistema encendido est modificando el sistema. Entonces, qu hace usted? Se reduce a esto - Va a perder ms pruebas mediante el uso de esta herramienta o apagando el sistema? Usted necesita para tomar su decisin, y cuando est listo, presione el botn para continue.Once el usuario acepta el acuerdo "Estoy de acuerdo", aparecer la pantalla principal.

Los usuarios pueden seleccionar cualquiera de estas opciones, haga clic en los iconos asociados. Esta pantalla principal no se comporta como una ventana estndar - no es as se presenta en la barra de tareas, y no se puede cambiar a ella a travs de la <ALT> <TAB> Secuencia de teclas. Helix no colocar un icono en la bandeja del sistema que se puede utilizar para acceder al programa. Para llevar la pantalla principal Helix al frente, puede hacer doble clic en el icono o haga clic y seleccione Restaurar. Otras opciones en el men del botn derecho incluyen Minimizar y salir.

24

Traducido por Sykrayo Espaa

La pantalla principal ofrece examinadores con seis opciones principales para examinar el sistema de investigacin. A continuacin se describen estas opciones. Ver informacin del sistema Esta opcin le dar la informacin bsica del sistema. Se incluye la versin del sistema operativo, informacin de la red, la informacin del propietario, y un resumen de las unidades del sistema. Adems, hay una segunda pgina que mostrar una lista de los procesos en ejecucin.

Adquirir una imagen "en vivo" de un sistema Windows mediante dd Esta opcin permite al investigador realizar copias de los discos duros, disquetes, o memoria, y almacenarlos en un soporte extrable locales, oa travs de una red.

Herramientas de gestin de crisis para los sistemas Windows Esta opcin proporciona acceso a las herramientas 20, todos los cuales se pueden ejecutar directamente desde el CD-ROM. Al hacer clic en el icono, aparecer un pequeo tringulo al lado del icono. Haciendo clic en este pequeo tringulo dar acceso a las otras pginas de herramientas.

Los documentos relativos a la gestin de crisis, Informtica Forense, Ordenador Seguridad y Delitos Informticos La opcin ofrece al usuario el acceso a algunos documentos de referencia comunes en formato PDF. Los documentos incluyen un formulario de cadena de custodia, la conservacin de los datos probatorios digital, Gua forense Linux para principiantes, y el examen forense para la gua de la evidencia digital. Estos documentos son muy recomendables, y el investigador deben revisar antes de realizar cualquier examen forense.

Examinar contenido del CD-ROM y Host OS Este es un simple explorador de archivos que proporcionar al investigador con informacin sobre el archivo seleccionado. Se mostrar el nombre del archivo, creado, fechas accedidos y modificados, atributos, CRC, MD5 y el tamao del archivo. Debido a la naturaleza del sistema operativo Windows, la primera vez que seleccione un archivo, se mostrar la fecha de acceso del ltimo acceso. Si selecciona el mismo archivo, se mostrar la fecha y hora de la conexin anterior. Esta es una caracterstica del sistema operativo Windows, y no se puede prevenir. Este es uno de los problemas con el examen de un sistema en vivo - acciones del investigador pueden modificar el sistema.

Analizar en busca de imgenes a

25

Traducido por Sykrayo Espaa

partir de un sistema en vivo Esta herramienta permitir al investigador para analizar rpidamente el sistema para ver si hay algunas imgenes grficas sospechosas en el sistema sospechoso. Muchos formatos grficos diferentes son reconocidos, y se muestran como miniaturas.

26

Traducido por Sykrayo Espaa

Barra de mens Adems de los iconos, todas las funciones son accesibles directamente desde la barra de men de Helix. Archivo - Permite al usuario salir de la aplicacin Helix Inicio rpido - Permite al usuario poner en marcha una herramienta de comandos o el software FTK Imager Pgina - Permite al usuario saltar directamente a cualquiera de las pantallas de la utilidad Ayuda - Muestra informacin sobre el programa y el acuerdo de licencia Nota: Ya que estas herramientas se ejecutan directamente desde el CDROM, CD-ROM y la mayora de girar cuando no est en uso, al hacer clic en un icono, puede tomar un momento para que el CD-ROM a girar antes de que haya una respuesta de la aplicacin. Nota: Todas las herramientas se ejecutan en el mismo nivel que el actual usuario registrado. Los usuarios normales pueden tener muchas restricciones en los que impiden algunas de estas herramientas se ejecute. Acceso al sistema utilizando la cuenta de administrador le proporcionar la ms acceso.

27

Traducido por Sykrayo Espaa

Ver informacin del sistema

Esta pantalla muestra informacin general sobre el sistema que est siendo investigado. Algunos puntos de inters: "Admin:" nos indica si el usuario actual es el administrador (buena prctica de seguridad para cambiar el nombre de la cuenta de administrador) "Derechos de administrador" nos hablan de que el usuario actual tiene privilegios de administrador. "NIC:" es el acceso MAC de la tarjeta de red. Si este valor es "000000000000" que indica que la tarjeta de red est en modo promiscuo, y podra estar capturando todo el trfico de red en el sistema. "IP:" es la direccin IP actual - esto podra cambiar si el sistema est configurado para DHCP. Nombre de las unidades listadas sin informacin adicional (como A: \, E: \ y G: \ en el ejemplo anterior) indicar tpicamente unidades extrables sin soporte insertado. Al hacer clic sobre el pequeo tringulo situado junto al icono de previsualizacin mostrar la segunda pgina de la informacin, que muestra los procesos en ejecucin. Al hacer clic en el

28

Traducido por Sykrayo Espaa

tringulo intercambiar el entre las dos pginas de informacin.

29

Traducido por Sykrayo Espaa

Adems de mostrar todos los procesos que se ejecutan en la memoria, haga doble clic en cualquier proceso brindar al usuario la opcin de suspender la aplicacin seleccionada. Se debe tener cuidado, y el investigador debe asegurarse de que se da por concluido el proceso adecuado. La terminacin del proceso en falso podra dar lugar a daos en el sistema y la prdida de pruebas forenses.

30

Traducido por Sykrayo Espaa

FAQ: Por qu no slo tiene que utilizar el construido en el "administrador de tareas" para mostrar esta informacin? Si el sistema ha sido secuestrado por un rootkit, o algn otro programa malicioso, es posible que el Administrador de tareas de Windows se ha modificado para que no muestre el cdigo malicioso. Desde Helix se ejecuta desde el CD, no se puede modificar, y debe ser capaz de mostrar todos los programas actualmente en ejecucin en el sistema.

31

Traducido por Sykrayo Espaa

Adquirir una imagen "en vivo" de un sistema Windows mediante dd

Hay dos herramientas proporcionadas para adquirir imgenes de la memoria fsica o unidades de disco. En la primera pgina, hay un front-end grfico para la versin de lnea de comandos de dd, una utilidad de duplicacin de discos comn. En la segunda pgina, el investigador tiene acceso al FTK Imager de AccessData. La utilidad dd puede capturar la memoria fsica y las unidades, mientras que FTK Imager slo puede adquirir las unidades. Adems, dd pueden tomar imgenes de ms de una red, mientras que FTK Imager slo puede imagen a dispositivos locales. Al hacer clic sobre el pequeo tringulo situado junto al icono de impresin ptica mostrar el FTK Imager. Al hacer clic en el tringulo intercambiar el entre las dos herramientas de adquisicin de imgenes.

Usando dd El campo de origen incluye un cuadro desplegable para el investigador para seleccionar cualquier unidad del sistema. El destino puede ser una unidad extrable local, una unidad de red o un oyente netcat. El nombre de la imagen es el nombre elegido de usuario y la extensin 32

Traducido por Sykrayo Espaa

estndar es. "Dd".

33

Traducido por Sykrayo Espaa

Las opciones incluyen: Adjunto / compartido: marque esta opcin para guardar la imagen en un disco local o un recurso compartido de red. NetCat: marque esta opcin para transferir la imagen a un servidor netcat se encuentra en la red. Con esta opcin, tendr que especificar la direccin IP y nmero de puerto del servidor netcat. Dividir Image: Le permite dividir la imagen en varios archivos si la imagen ser superior a la capacidad del medio de almacenamiento. Por ejemplo, si usted es imgenes de un concierto de disco duro 10, se puede dividir la imagen para que quepa en un sistema de archivos de CD-ROM, DVD o FAT 32, que tiene una 4 GB limitacin de tamao de archivo. Una vez que introduzca todos los parmetros y pulsa el botn "Adquirir", una ventana de shell de comandos forense se abrir. Este intrprete de comandos usa cdigo binario de confianza para evitar que los kits de raz de la manipulacin de la imagen que se est creando.

Ahora puede pegar la lnea de comando dd en la cscara haciendo clic derecho y seleccionando "Pegar" en el men contextual. Pulse Enter para ejecutar el comando.

34

Traducido por Sykrayo Espaa

Una vez finalizado el mandato, habr 3 archivos en el directorio de destino: filename.dd - La imagen del disquete filename.dd.md5 - Un archivo que contiene el MD5 del archivo de imagen. Audit.log - un archivo que contiene el comando y la salida del programa.

35

Traducido por Sykrayo Espaa

FTK Imager "FTK Imager es una vista previa de datos y herramienta de imagen que le permite evaluar rpidamente las pruebas electrnicas para determinar si un anlisis con AccessData Forensic Toolkit (FTK ) est garantizado. FTK Imager tambin puede crear copias perfectas (imgenes forenses) de datos de la computadora sin realizar cambios en los datos originales. "(Acceso a datos de 2005) De acuerdo con el archivo de Ayuda de imagen FTK (Data Access, 2005), se puede: Vista previa de archivos y carpetas en los discos duros locales, disquetes, discos Zip, CD y DVD. Crear imgenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD. Vista previa de los contenidos de las imgenes forenses almacenados en el equipo local o en una unidad de red. Archivos y carpetas Exportar. Generar informes hash de los archivos regulares e imgenes de disco (incluyendo los archivos dentro de imgenes de disco). Para acceder a la FTK Imager, seleccione la segunda pgina de la pgina de adquisicin de imgenes. Esta pgina mostrar las notas de la versin actual de la herramienta. Haga clic en "Imager" para lanzar la aplicacin real.

36

Traducido por Sykrayo Espaa

37

Traducido por Sykrayo Espaa

Nota: FTK Imager ahora tambin puede ser lanzado a travs del men de inicio rpido en la pantalla principal. La FTK Imager es una herramienta potente y flexible. Puede ser utilizado para examinar los medios de comunicacin y las imgenes, y se extrajo archivos borrados. Cuenta con amplia informacin disponible a travs del men Ayuda o en el icono de signo de interrogacin en la barra de herramientas. Para ver cmo crear una imagen del disco utilizando FTK Imager, consulte Lab 1b - Crear Imagen de un disquete sospechoso (Windows, FTK Imager).

38

Traducido por Sykrayo Espaa

Herramientas de gestin de crisis para los sistemas Windows

Este panel proporciona al investigador una serie de herramientas para responder a los incidentes. Hay tres pginas a este panel, el resto de pginas se puede acceder haciendo clic en los tringulos pequeos junto al icono de Respuesta a Incidentes en la barra de herramientas de la izquierda. Las herramientas incluyen: Forense de Windows Toolchest (WFT) Coleccin de informes de respuesta a incidentes (IRCR2) Disco Evidencia de First Responder (FRED) First Responder Utilidad (FRU) Los informes de seguridad (SecReport) Md5 Generador Comando de Shell - un shell de comandos vlida a efectos legales File Recovery - Recuperar archivos borrados Rootkit Revealer - detectar la presencia de rootkits en el sistema Servidor VNC Masilla SSH Captura de Pantalla Messenger Password Mail Password Viewer Visor de almacenamiento protegido 39

Traducido por Sykrayo Espaa

Network Password Viewer

40

Traducido por Sykrayo Espaa

Registry Viewer Asterisk Logger IE History Viewer IE Cookie Viewer Mozilla Cookie Viewer

La segunda la pgina de Servicios

La tercera la pgina de Servicios

41

Traducido por Sykrayo Espaa

Ventanas Forense Toolchest (WFT) La Caja de herramientas de Windows Forense (WFT) fue escrito por Monty McDougal. Est disponible a partir de http://www.foolmoon.net/security/wft/index. Html "El forense Toolchest de Windows (WFT) fue escrito para proporcionar una respuesta automtica incidente [o incluso una auditora] en un sistema Windows y recopilar informacin relevante para la seguridad del sistema. Se trata esencialmente de una concha de procesamiento por lotes forense mejorada capaz de ejecutar otras herramientas de seguridad y la elaboracin de informes basados en HTML de forma vlida a efectos legales. Una persona de seguridad bien puede utilizar para ayudar a buscar signos de un incidente (cuando se utiliza junto con las herramientas adecuadas). WFT est diseado para producir una salida que es til para el usuario, sino que tambin es adecuado para su uso en los procedimientos judiciales. Proporciona amplio registro de todas sus acciones, junto con el clculo de las sumas MD5 en el camino para que su salida es verificable. La principal ventaja de usar WFT para llevar a cabo las respuestas de incidentes es que proporciona una forma simplificada de secuencias de comandos tales respuestas utilizando una metodologa slida para la recopilacin de datos. "(McDougal, 2005) Cuando se inicia el programa WFT, se le pedir una carpeta de salida. El investigador debe apuntar a una carpeta de medios extrables (disquetes, zip, dispositivo USB) o una carpeta compartida en la red para evitar que la herramienta de modificacin de la unidad sospechosa. Una vez seleccionada la carpeta, el programa le preguntar al usuario si desea ejecutar algunas utilidades coleccin detalladas? stos pueden llegar a durar una hora o ms para ejecutar, en funcin del sistema del sistema, la cantidad de RAM, y muchos otros factores.

A continuacin, el programa le preguntar si el usuario desea ejecutar algunos programas que pueden escribir la informacin en el sistema del sospechoso. Estas herramientas pueden poner en peligro la integridad del sistema, por lo que esta opcin se debe utilizar con cuidado. Por ltimo, el programa mostrar el comando y pedir conformacin. 37

Traducido por Sykrayo Espaa

Una vez que el usuario hace clic en "S", una herramienta de comandos se abrir, y el proceso de recoleccin se iniciar. Dependiendo de las opciones seleccionadas, el proceso de recogida puede tardar desde unos pocos minutos a unas pocas horas. Una vez que la coleccin est terminado, el usuario ser devuelto al programa de la hlice. Si el usuario examina la carpeta de destino, hay un ahora un archivo "index.html". Este archivo se puede examinar con un navegador de su eleccin. Para evitar la contaminacin adicional del sistema sospechoso, que debe ser visto en otro sistema. Un resultado de ejemplo se muestra a continuacin.

La salida puede ser navegado utilizar los hipervnculos destacan. WFT produce una impresionante coleccin de informacin del sistema. Adems, en la ficha Registro muestra los comandos que se han ejecutado y la ficha Config muestra el archivo de configuracin WFT. Desde el sitio web: Windows Forense Toolchest (WFT) fue diseado para ser til tanto para un administrador de seguridad y como una herramienta para ser utilizado en un tribunal de justicia. Uno de los temas ms importantes que intervienen en un proceso judicial es asegurarse de que usted tiene un registro adecuado de todas las acciones que se han tomado. Tambin es necesario disponer de las medidas de proteccin adecuadas para garantizar que los datos presentados no han sido alterados. WFT busca cumplir con ambos requisitos. Una de las caractersticas ms importantes de WFT es el hecho de que los registros de cada actuacin que realiza como parte de la ejecucin de comandos. 38

Traducido por Sykrayo Espaa

Un investigador forense con Windows Toolchest (WFT) necesitara un cierto nivel de conocimiento para interpretar los datos producidos por ejecutarlo. Si el archivo de configuracin se utiliza correctamente, entonces WFT es auto

39

Traducido por Sykrayo Espaa

documentar hasta cierto punto, ya que cada informe HTML producido tendr la descripcin de la herramienta como parte de su salida. En ltima instancia, el investigador tiene que tener un conocimiento prctico de las herramientas que se invocan mediante WFT ser capaz de interpretar sus resultados. Principal beneficio de WFT al investigador es su capacidad para proporcionar un guin, respuesta automtica, mientras que la promocin de la integridad forense y el registro detallado.

Ventanas Forense Toolchest (WFT) proporciona una salida en dos formatos de datos. Cada uno de ellos sirve a un propsito especfico tal como se describe a continuacin. La primera y ms til formato de salida HTML. Abrir el archivo index.htm producido por WFT ofrece un fcil de leer y fcil de navegar interfaz para la salida de las distintas herramientas invocados mediante WFT. Cada uno de los informes producidos bajo WFT incluye la suma de comprobacin MD5 para el binario que se est ejecutando, la lnea de comandos exacta emitida para generar la salida, una descripcin de la herramienta, y la salida producida por la herramienta junto con la suma de comprobacin MD5 asociado con la salida. Los informes HTML se han diseado para ser auto-documentado a travs del texto que se proporciona en el archivo de configuracin. El segundo tipo de salida producida por WFT es la salida de texto sin formato de las herramientas. Este formato permite al espectador ver la salida del comando individual tal y como se produjo. Generalmente es una mala idea, de cualquier manera, manipular los datos que se utilizan como prueba en un tribunal de justicia. WFT busca preservar los datos originales al tiempo que proporciona una versin ms fcil de utilizar HTML para su visualizacin. Las sumas de comprobacin MD5 producidos por cada uno de los archivos de 40

Traducido por Sykrayo Espaa

salida durante la recoleccin constituye una garanta para asegurar la salida puede ser verificada en una fecha posterior.

41

Traducido por Sykrayo Espaa

Coleccin de informes de respuesta a incidentes (IRCR2) Escrito por John McLeod. Disponible desde http://ircr.tripod.com/ "La coleccin de informes de respuesta a incidentes es un script para llamar a una coleccin de herramientas que recoge y / o anlisis de datos en un sistema Microsoft Windows. Usted puede pensar en esto como una instantnea del sistema en el pasado. La mayora de las herramientas estn orientadas hacia la recogida de datos en lugar de anlisis. La idea de IRCR es que cualquier persona puede ejecutar la herramienta y enviar la salida a un profesional de la seguridad informtica especializada para su posterior anlisis. "(McLeod, 2005) Para evitar que el sistema sospechoso de ser modificado, esta herramienta enva la salida a un sistema de escucha que est conectado a travs de una conexin de red. En el sistema de escucha, es necesario ejecutar netcat. Para este ejemplo, hemos ejecutado el comando en una mquina con la direccin IP 192.168.1.2: nc-l-p 8888> IRCR2OutputReport.txt En el sistema sospechoso, cuando se inicia el programa IRCR2, se le pedir al usuario la direccin del sistema de escucha.

A continuacin, se le pedir para el puerto del oyente.

Por ltimo, se mostrar el comando y pedir confirmacin.

42

Traducido por Sykrayo Espaa

43

Traducido por Sykrayo Espaa

Dependiendo de la velocidad del sistema y la velocidad de la red, este programa puede tomar un tiempo para ejecutar. No es inusual para el programa para generar varios errores. Una vez finalizado el programa, el archivo de salida contendr un informe detallado del sistema sospechoso. Archivo de salida de muestra
Coleccin de informes de respuesta a incidentes

Nombre: Nombre del equipo: tal_mc Sistema operativo: Microsoft Windows XP [Versin 5.1.2600] START - Tiempo: 21:30:47.45 Fecha: Lunes 12/12/2005

21:30:47.63 Comando: AT AT lista programada SALIDA: No hay entradas en la lista. 21:30:47.76 Comando: doskey / history MS-DOS historia lista de salida: 21:30:47.87 Comando: ipconfig / all Muestra la informacin de configuracin SALIDA: Configuracin IP de Windows Host Name. . . . . . . . . . . . : Tal_mc Sufijo DNS principal. . . . . . . : Tipo de nodo. . . . . . . . . . . . : Enrutamiento IP habilitado mixto. . . . . . . . : No Proxy WINS habilitado. . . . . . . . : No se Adaptador Ethernet VMware Network vmnet8: Sufijo de conexin especfica DNS. : Descripcin. . . . . . . . . . . : Adaptador de VMware Virtual Ethernet para vmnet8 Direccin fsica. . . . . . . . . : 00-50-56-C0 00-08 DHCP permiti. . . . . . . . . . . : No se Direccin IP. . . . . . . . . . . . : 192.168.95.1 Mscara de subred. . . . . . . . . . . : 255.255.255.0 Puerta de enlace predeterminada. . . . . . . . . : 21:30:48.15 Comando: MEM.exe / d Muestra la memoria SALIDA uso: Direccin ------000000 000400 000500 000700 Nombre -------Tipo Tamao -----000400 000100 000200 000370 CON PRN AUX

-----Interrumpir Vector rea de Comunicacin ROM DOS rea de Comunicacin Datos del sistema Sistema controlador de dispositivo del sistema de controladores de dispositivos System Device Driver

IO

44

Traducido por Sykrayo Espaa

Disco Evidencia de First Responder (FRED) Escrito por el Agente Especial Jesse Kornblum de la Oficina de Investigaciones Especiales de los Estados Unidos Fuerza Area. Para obtener ms informacin sobre su trabajo, ver http://research.jessekornblum.com / FRED es la primera evidencia de disco de Responder. Este archivo de MS / DOS lotes recoger una gran cantidad de informacin del sistema y guardarla en un archivo de texto. Hay 3 iconos disponibles para FRED que determinan dnde se encuentra el archivo de salida. La tres iconos indican: Dispositivo de Almacenamiento Floppy, Netcat y Otros.

Salida a Floppy Si el sistema sospechoso tiene una unidad de disquete, el primer icono a escribir la informacin en un disquete. Si el usuario hace clic en "S", se crearn dos archivos en el disquete. La salida del informe estar en: \ audit.txt, y la firma MD5 del fichero audit.txt estar en el a: \ audit.MD5.

Salida a travs de NetCat El segundo icono se transmite a travs de la salida netcat a otro sistema. Esto es til si el sistema est conectado a una red, y no tiene un disquete. En el sistema de escucha, es necesario ejecutar netcat. Para este ejemplo, hemos ejecutado el comando en una mquina con la direccin IP 192.168.1.2: nc-l-p 8888> FREDOutputReport.txt En el sistema sospechoso, cuando el F.R.E.D. se inicia el programa, se le pedir al usuario la direccin del sistema de escucha. 45

Traducido por Sykrayo Espaa

A continuacin, se le pedir para el puerto del oyente.

Por ltimo, se mostrar el comando y pedir confirmacin.

Una vez finalizado el programa, pulse <CTRL>-C en el sistema de escucha. El archivo de salida contendr un informe detallado del sistema sospechoso. A diferencia de las otras dos opciones, esta opcin no se crear automticamente un archivo MD5 para la salida. Ahora debe ejecutar el md5sum en el registro de auditora adquirida, y guardar ese nmero. No modifique el archivo original, ya que eso va a cambiar la firma MD5. Se recomienda que el MD5 est escrito en la etiqueta de evidencia para el disquete.

Salida a otro dispositivo de almacenamiento Por ltimo, el tercer icono permitir al usuario seleccionar la carpeta de salida. Se recomienda que la salida se enva a una unidad extrable o un recurso compartido de red. La salida no debe ser escrito al sistema del sospechoso, ya que esto puede poner en peligro la integridad del sistema. El programa se confirme el directorio de salida.

46

Traducido por Sykrayo Espaa

47

Traducido por Sykrayo Espaa

El programa entonces confirmar el comando. Si el usuario hace clic en "S", se crearn dos archivos en la carpeta de destino. La salida del informe estar en audit.txt, y la firma MD5 del fichero audit.txt estar en el audit.MD5. Archivo de salida de muestra
FRED v1.4 - 6 de octubre de 2005 [modificado para HELIX 10/2005] ================================================= START TIEMPO ================================================= Hora: 21:52:54.84 Fecha: lun 12/12/2005 ================================================= PsInfo ================================================= System informacin para \ \ TAL_MC: Uptime: 12 das 23 horas 21 minutos 22 segundos versin Kernel: Microsoft Windows XP, multiprocesador libre Tipo de producto: profesionales Versin del producto: 5.1 Service Pack: 1a Kernel nmero de compilacin: 2,600 Organizacin social: Propietario registrado: 12/22/2004, 06:54:16 AM Estado de activacin:: Fecha Instale Activado Versin de IE: 6.0000 Raz del sistema: C: \ WINDOWS Procesadores: 2 Velocidad del procesador: 3,2 GHz Tipo de Intel (R) Pentium (R) 4 CPU procesador: Memoria fsica: 1536 MB Controlador de vdeo: Intel (R) 82845G/GL/GE/PE/GV Controlador grfico NET ================================================= CUENTAS ================================================= Nunca Fuerza cierre de sesin de usuario cunto tiempo 0 despus de que expire el tiempo: la edad mnima 42 de la contrasea (das): Edad mxima de la contrasea (das): Longitud mnima de la contrasea: 0 Longitud de historial de contraseas mantenido: Ninguno Umbral de bloqueo: Nunca Duracin del bloqueo 30 (minutos): Ventana de observacin de bloqueo (minutos): 30 Ordenado papel: ESTACIN DE TRABAJO r El comando se ha completado satisfactoriamente. NET ================================================= COMPARTIR ================================================= Share nombre Observacin de Recursos -------------------------------------------------- ---------------------------- $ IPC IPC remota D $ D: \ Default compartir C $ C: \ Default compartir F $ F: \ Default compartir ADMIN $ C: \ WINDOWS Remote

48

Traducido por Sykrayo Espaa

Admin E $ E: \ Default compartir

49

Traducido por Sykrayo Espaa

First Responder Utilidad (FRU) Escrito por Harlan Carvey. Disponible desde http://www.windows-ir.com/ Tools.html "La primera utilidad Responder (FRU) es utilizado por un primer nivel de respuesta para recuperar los datos voltiles de" sistemas de las vctimas ". La versin actual de la FRU es una herramienta CLI (interfaz de lnea de comandos) llamado FRUC. El FRUC funciona con una combinacin de un archivo INI y las opciones de lnea de comandos. "(Carvey, 2005a) Para evitar que el sistema sospechoso de ser modificado, esta herramienta enva la salida a un sistema de Project Server Forense (FSP) que se conecta a travs de un servidor de FSP connection.The red est disponible en el CD de la hlice en el directorio \ IR \ FSP en el FSPC archivo. zip. Una vez FSP se ha instalado en el sistema del investigador, el comando:

C:? Perl FSP> fsp.pl


Se iniciar el server.It FSP mostrar un men de configuracin (Carvey, 2005b). Para obtener ms informacin acerca de la FSP, ver Carvey, HA (2005). Forense de Windows y de recuperacin de incidentes. Boston: Addison-Wesley. Captulo 8 del libro, que trata de la FSP, est disponible como un captulo de la muestra a partir de: http://awprofessional.com/content/images/ 0321200985/samplechapter/carvey_ch08.pdf

En el sistema sospechoso, cuando se inicia el programa de FRU, se le pedir al usuario la direccin del sistema de escucha.

A continuacin, se le pedir para el puerto del oyente. Es importante que este puesto nmero coincide con el nmero de puerto en el servidor de FSP.

50

Traducido por Sykrayo Espaa

Se le preguntar por la ubicacin del archivo fruc.ini. El usuario debe seleccionar el archivo por defecto, a menos que hayan creado su propio archivo fruc.ini.

Por ltimo, se mostrar el comando y pedir confirmacin.

Una vez que el usuario hace clic en "S", el comando se coloca en el portapapeles.

Cuando se abra la consola de comandos, el usuario debe haga clic en el interior de la misma, y seleccione Pegar para insertar el comando en el shell de comandos.

Al pulsar Intro se ejecutar el comando. La informacin en el sistema del sospechoso se transferir ahora al Proyecto Forense servidor Sistema. 51

Traducido por Sykrayo Espaa

SecReport SecReport es una herramienta gratuita disponible en http://members.verizon.net / ~ vze3vkmg/index.htm. "Es una pequea suite de dos herramientas de lnea de comandos para la recopilacin de informacin relacionada con la seguridad del sistema basado en Windows (SecReport) y la comparacin de los dos informes de cualquiera de los dos sistemas o de la misma del sistema despus de un tiempo (Delta). Yo uso estas herramientas para evaluar rpidamente el nivel de aseguramiento de sistema de Windows y comparar los resultados con el valor basal. Las herramientas son tiles tanto en la administracin de la seguridad diaria y durante Responce incidente - para la recoleccin rpida de informacin. Las herramientas no necesitan ser instalados en el sistema y se puede ejecutar directamente desde el disco duro o CD-R o una unidad de red (asignada o UNC). Formato de los informes - XML. Los informes se pueden visualizar con el navegador IE 6.0. Archivo hash MD5 de informe creado automticamente. "(SecReport, 2005) Plataformas compatibles: Windows 2000, XP, 2003 - soporte completo; NT4 (SP6 o posterior) apoyo limitado Helix ofrece al investigador con una interfaz grfica de la aplicacin. Al hacer clic en el SecReport Icono generar la siguiente ventana:

La salida debe ser dirigida a los medios extrables para evitar la contaminacin del sistema del sospechoso. Introduzca el nombre de la unidad y haga clic en Aceptar.

Informacin sobre hotfix requiere una conexin rpida a Internet. El valor predeterminado es No. Haga clic en Aceptar para continuar. El mensaje de confirmacin showsthe comando y sus parmetros. 52

Traducido por Sykrayo Espaa

Al hacer clic en S, se abrir una consola de comandos, que se ejecutar el comando. Despus de unos minutos, el programa se complete y pedir al usuario que presione cualquier tecla para continuar.

Al pulsar cualquier tecla se cerrar la ventana. El investigador encontrar dos archivos de salida en la ubicacin especificada. securityreport.xsl es la hoja de estilo para el informe, y el archivo machinename_date.xml. Haga doble clic en el archivo xml. Abrir el informe en Internet Explorer. Este informe se prolonga por varias pginas, detallando los siguientes datos: Configuracin de la red Directiva de auditora Configuracin del registro de eventos Servicios Aplicaciones Hotfixes Puertos abiertos Configuracin del archivo de paginacin Hardware Procesadores Discos fijos Los puestos de control mixtos 53

Traducido por Sykrayo Espaa

Ejemplo de Salida

54

Traducido por Sykrayo Espaa

Md5 Generador En la pgina 2 de las herramientas de gestin de crisis, ver un cuadro de entrada que le permitir generar la firma MD5 de cualquier archivo.

Comience presionando el botn "...". Con ello se abre un gestor de archivos que puede utilizar para seleccionar un archivo.

55

Traducido por Sykrayo Espaa

56

Traducido por Sykrayo Espaa

Seleccione un archivo y una vez que ha sido incluido en el "FILE:" cuadro de texto, el usuario puede hacer clic en "HASH" botn para generar el MD5 del archivo.

57

Traducido por Sykrayo Espaa

Comando de Shell Este es un shell de comandos vlida a efectos legales, lo que significa que funciona slo de confianza, no comprometidos, los binarios que se incluyen en el CD.

El Helix GUI detectar automticamente y ejecutar el shell de comandos apropiados para el sistema operativo que est en uso. Todos los comandos estndar estn disponibles, as como el acceso a las versiones de lnea de comandos de muchas de las herramientas forenses incluido en el CD. El comando path mostrar todos los directorios que se buscan para encontrar el comando. Desde hace varios directorios pueden contener comandos con el mismo nombre, si el usuario desea un comando especfico, deben especificar la ruta completa al comando especfico.
22:32:49.43 I: \ IR> ruta PATH = I: \ IR \ FAU \, I: \ IR \ Cygwin \, I: \ IR \ bin \, I: \ IR \ WFT; I: \ IR \ IRCR \, I: \ IR \ unxu tils \, I: \ IR \ Sysinternals \, I: \ IR \ microsoft \, I: \ IR \ SystemTools \, I: \ IR \ ntsec ureza \, I: \ IR \ perl \, I: \ IR \ Foundstone \, I: \ IR \ 2k \, I: \ IR \ 2k3 \, I: \ IR \ PSF \, I: \ IR \ nt \, I: \ IR \ XP \; I: \ \ IR conchas \, I: \ IR \ NirSoft \, I: \ IR \ windbg \ 22:32:53.43 I: \ IR>

58

Traducido por Sykrayo Espaa

Rootkit Revealer Esta es una herramienta gratuita de SysInternals (http://www.sysinternals.com/Utilities / RootkitRevealer.html). Segn el sitio web, "Se ejecuta en Windows NT 4 y superiores, y su salida se enumeran Registro y discrepancias API del sistema de archivos que pueden indicar la presencia de un usuario o modo kernel rootkits. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, incluyendo AFX, Vanquish y HackerDefender ". Qu es un rootkit? Se trata de una serie de aplicaciones de malware que reemplazan las utilidades estndar de Windows con programas de caballo de Troya, en un intento de hacerse cargo de su sistema. Esto rootkits modifican el sistema operativo para que pueda ocultar con xito y evitar los medios tradicionales de deteccin. Por ejemplo, puede modificar el explorador de Windows y los comandos DIR para que el usuario no ser capaz de ver el directorio del rootkit es instalado in Adems, los rootkits se abren puertas traseras en el sistema para permitir el control remoto del sistema de envo de spam, lanzamiento de ataques de denegacin de servicio, o por piratear software. Para obtener ms informacin sobre los rootkits, consulte www.rootkit.com y la pgina de Microsoft en la investigacin rootkit research.microsoft.com / rootkit /. Para ejecutar la aplicacin, haga clic en el icono revelador rootkit. En la ventana de confirmacin, haga clic en S para ejecutar el programa. Aparecer la ventana principal de exploracin.

59

Traducido por Sykrayo Espaa

60

Traducido por Sykrayo Espaa

Al igual que con muchas otras herramientas, este programa slo se ejecutar en el nivel del usuario actualmente conectado. Sera mejor para ejecutar este como administrador del sistema para obtener resultados ms precisos. A continuacin se muestra un ejemplo del programa de deteccin del rootkit HackerDefender (desde el sitio web de Sysinternals).

Una vez finalizada la exploracin, el resultado se puede guardar en un archivo utilizando el Archivo / Guardar como opcin. Para interpretar los resultados, la siguiente informacin se toma de la pgina web de Sysinternals.

Oculto en Windows API.


Estas discrepancias son las exhibidas por la mayora de los rootkits, sin embargo, si usted no ha comprobado los archivos de metadatos NTFS Ocultar usted debe esperar para ver una serie de tales entradas en cualquier volumen NTFS desde NTFS oculta sus archivos metada como $ MFT y $ Fijar, de la API de Windows. Los archivos de metadatos presentes en volmenes NTFS vara segn la versin de NTFS y las caractersticas de NTFS que se han habilitado en el volumen. Tambin hay productos antivirus, como Kaspersky Antivirus, que utilizan tcnicas de rootkit para ocultar los datos se almacenan en secuencias de datos alternativas NTFS. Si est ejecutando un escner de virus tales vers una Ocultado discrepancia API de Windows para una secuencia de datos alternativa en todos los archivos NTFS. RootkitRevealer no admite filtros de salida por rootkits pueden utilizar ningn tipo de filtro. Por ltimo, si se elimina un archivo durante una exploracin tambin puede ver esta discrepancia. Esta es una lista de los archivos de metadatos NTFS definidos como de Windows Server 2003:

$ AttrDef $ BadClus $ BadClus: $ Malo $ BitMap

61

Traducido por Sykrayo Espaa

$ Boot $ Archivo de registro $ Mft $ Su espejo

62

Traducido por Sykrayo Espaa

$ Secure $ Upcase $ Volumen $ Extend $ Extend \ $ Reparse $ Extend \ $ ObjId $ Extend \ $ UsnJrnl $ Extend \ $ UsnJrnl: $ Max $ Extend \ $ Quota

Acceso denegado.
RootkitRevealer nunca debe reportar esta discrepancia, ya que utiliza los mecanismos que le permiten acceder a cualquier archivo, directorio o clave de registro en el sistema.

Visible en la API de Windows, el ndice del directorio, pero no en la MFT. Visible en la API de Windows, pero no en MFT o ndice de directorio. Visible en la API de Windows, MFT, pero no en el ndice de directorio. Visible en el ndice del directorio, pero no la API de Windows o MFT.
Un anlisis del sistema de archivos consta de tres componentes: el API de Windows, el NTFS Tabla maestra de archivos (MFT), y el ndice NTFS estructuras de directorio en disco. Estas discrepancias indican que un archivo aparece en slo una o dos de las exploraciones. Una razn comn es que un archivo se crea o elimina durante las exploraciones. Este es un ejemplo de informe de discrepancia de RootkitRevealer para un archivo creado durante el anlisis: C: \ newfile.txt 3/1/2005 17:26 8 bytes Visible en la API de Windows, pero no en MFT o ndice de directorio.

Ventanales API no es coherente con los datos de la colmena primas.


Los rootkits se tratan de esconderse al tergiversar el tamao de un valor de registro para que su contenido no es visible para la API de Windows. Usted debe examinar cualquier discrepancia, aunque tambin puede aparecer como consecuencia de los valores del Registro que cambian durante el anlisis.

Escriba desajuste entre la API de Windows y los datos de la colmena primas.


Los valores del registro tienen un tipo, tales como DWORD y REG_SZ, y esta discrepancia se observa que el tipo de un valor como se inform a travs de la API de Windows difiere de la de los datos de la colmena primas. Un rootkit puede enmascarar sus datos mediante el almacenamiento como un valor REG_BINARY, por ejemplo, y haciendo que la API de Windows creen que es un valor REG_SZ; si se almacena un 0 en el inicio de los datos de la API de Windows no ser capaz de acceder los datos posteriores.

Nombre de clave contiene valores null incrustados.


La API de Windows trata los nombres clave como cadenas terminadas en cero, mientras que el kernel las trata como hilos contados. As, es posible crear las claves del Registro que son visibles para el sistema operativo, sin embargo, slo parcialmente visible a las herramientas de registro como Regedit. El cdigo de ejemplo Reghide en Sysinternals muestra esta tcnica, que se utiliza tanto por malware y rootkits para ocultar los datos del Registro.

63

Traducido por Sykrayo Espaa

Discrepancia de datos entre la API de Windows y los datos de la colmena primas.


Esta discrepancia se produce si el valor del registro se actualiza, mientras que la exploracin del registro est en curso. Los valores que cambian con frecuencia incluyen marcas de tiempo, tales como el valor de Microsoft SQL Server uptime, se muestra a continuacin, y un escner de virus "ltima

64

Traducido por Sykrayo Espaa

escanear "los valores. Usted debe investigar cualquier valor reportado para asegurar que es una aplicacin o sistema de valores del Registro vlida. HKLM \ SOFTWARE \ Microsoft \ Microsoft SQL Server \ RECOVERYMANAGER \ MSSQLServer \ uptime_time_utc 3/1/2005 16:33 8 bytes

Esta herramienta slo le ayudar a encontrar rootkits, y no eliminarlos. Dependiendo de la naturaleza de la investigacin, necesita la deteccin del rootkit para ser documentado, y el sistema conservaron para su posterior investigacin. Si el investigador cree que ha encontrado un rootkit, y el rootkit necesita ser eliminado del sistema de produccin, normalmente hay slo dos maneras de eliminar el rootkit. La primera consiste en buscar en la web para encontrar las instrucciones de eliminacin, y el segundo es volver a formatear todo el sistema de una reinstalacin de Windows desde una fuente confiable.

65

Traducido por Sykrayo Espaa

Recuperacin de archivos Este botn lanza PC Inspector File Recovery desde http://www.pcinspector.de / file_recovery / UK / welcome.htm.Esta utilidad freeware puede ser utilizado para detectar y recuperar archivos borrados. Es compatible con la recuperacin de archivos de FAT 12/16/32 y NTFS. [Nota del Autor: La versin 4.0 ya est disponible]. Segn el sitio web, se puede encuentra particiones automticamente, incluso si el sector de arranque o FAT ha sido borrado o daado; Recupera archivos con el tiempo original y fecha; Soporta el ahorro de los archivos recuperados en unidades de red; Recupera archivos, incluso cuando un entrada de la cabecera ya no est disponible. Productos de la competencia no pueden recuperar estos archivos. La "Funcin Especial de Recuperacin" soporta los siguientes formatos de disco: ARJ AVI BMP CDR DOC DXF DBF XLS EXE GIF HLP HTML HTM JPG LZH MID MOV MP3 PDF PNG RTF TAR TIF WAV ZIP. Si el disco duro no es reconocido por la BIOS, o tiene problemas mecnicos (como sonidos de rechinar), este programa no va a ser capaz de ayudar. Para utilizar el programa, haga clic en el icono de la recuperacin de archivos, y responder que s al dilogo de confirmacin. El programa principal se iniciar y abrir un asistente para la recuperacin de archivos. El programa permite al investigador para seleccionar el idioma de su eleccin.

66

Traducido por Sykrayo Espaa

Aparecer la ventana principal, que da varias opciones.

Al hacer clic en cualquiera de las opciones que va a escanear el sistema y presentar una lista de las unidades reconocidas.

67

Traducido por Sykrayo Espaa

Seleccione la unidad de examinar. Para continuar, seleccione el icono de marca de verificacin verde. Cada opcin dar diferentes mtodos sobre cmo recuperar los datos. En las opciones recuperados archivos eliminados, el programa mostrar una interfaz similar al Explorador de Windows.

En esta pantalla, en las carpetas borrados, vemos que podemos recuperar el archivo _ULA.PDF. Para recuperar el archivo, haga clic derecho sobre el nombre del archivo y seleccione "Guardar en ..."

68

Traducido por Sykrayo Espaa

Tambin hay otras opciones, como se presentan las propiedades, cambiar el nombre del archivo y la visualizacin, ya sea como un volcado hexadecimal o como un archivo de texto.

69

Traducido por Sykrayo Espaa

Servidor VNC http://www.realvnc.com/ Desde el sitio web: VNC significa Virtual Network Computing. Es un software de control remoto que le permite ver e interactuar con un ordenador (el "servidor") mediante un sencillo programa (el "espectador") en otro equipo en cualquier lugar en Internet. Los dos equipos ni siquiera tienen que ser del mismo tipo, por lo que, por ejemplo, puede usar VNC para ver una mquina Linux la oficina en su PC con Windows en casa. Para utilizar VNC, haga clic en el icono junto al servidor VNC. Esta opcin permite a VNC modificar el registro para que pueda utilizar el PuTTY SSH para comunicaciones cifradas proporcionadas. Despus de tomar su decisin, que proporcionar un mensaje de confirmacin:

Haga clic en S para continuar. WinVNC se abrir un cuadro de propiedades. En su mayor parte, puede dejar como est, con una excepcin. Debe introducir una contrasea en el cuadro de dilogo de contrasea. VNC servidor no aceptar conexiones entrantes sin contrasea.

Para acceder a este sistema desde otro lugar, puede utilizar un visor de VNC o un navegador web. Para utilizar un navegador de Internet (en el sitio web real VNC): Los servidores VNC tambin contienen un pequeo servidor web. Si se conecta a este con un navegador web, puede descargar la versin Java del espectador, y utilizar esta opcin para ver el servidor. A continuacin, puede ver su escritorio desde cualquier navegador con Java, a menos que est utilizando un servidor proxy para conectarse a la web. El servidor escucha las conexiones HTTP en el puerto 5800 + nmero de pantalla. As que para ver la pantalla de 2 en la mquina 'Snoopy', debe apuntar su navegador web:

70

Traducido por Sykrayo Espaa

http://snoopy:5802/ El applet se pedir su contrasea,

71

Traducido por Sykrayo Espaa

y luego debe mostrar el escritorio. Desde el visor, debe ahora tener el control total del sistema que el servidor se est ejecutando. Esto es til si el sistema que est examinando y el sistema que se utiliza para recoger la fecha estn demasiado separados trabajar en ellos al mismo tiempo.

72

Traducido por Sykrayo Espaa

PuTTY SSH Escrito y mantenido principalmente por Simon Tatham. Est disponible a partir de http://www.chiark.greenend.org.uk/ ~ sgtatham/ Putty / Desde el sitio web: PuTTY es una implementacin libre de Telnet y SSH para plataformas Win32 y Unix, junto con un emulador de terminal xterm. Esta herramienta permite que el usuario de inicio de sesin remota para ejecutar comandos de un sistema remoto y. Esto se puede utilizar para iniciar sesin en un sistema remoto y ejecutar un oyente netcat. El sistema remoto debe tener un servidor SSH en funcionamiento. Una vez seleccionado, el programa mostrar una confirmacin.

Al hacer clic en "Yes" se lanzar el programa SSH PuTTY y mostrar la ventana de configuracin. Para operaciones normales, el usuario slo debe tener que introducir el nombre de host o direccin IP y haga clic en "Open".

73

Traducido por Sykrayo Espaa

Captura de Pantalla http://www.hoverdesk.net/freeware.htm Desde el sitio web: HoverSnap es una herramienta gratuita con handy snapshot jpg, png, bmp y gif apoyo. HoverSnap puede tomar instantneas de la pantalla completa, ventana activa o un rea seleccionada. Incluso puede capturar ventanas superpuestas (los alphablended bajo 2K / XP). Usted puede incluso FTP subir tus capturas de pantalla. Adems, puede configurar la carpeta de captura / nombre de archivo y el formato, reducir el tamao de captura, y la opcin de nombre generar automticamente aadir la marca de tiempo (fecha / hora) a su nombre con el fin de ser capaz de tomar varias capturas sin tener para cambiar el nombre del archivo. Cuando se selecciona el icono HoverSnap, presentar un mensaje de confirmacin. Cuando el usuario hace clic en "S", habr un icono HoverSnap en la bandeja del sistema. Si hace clic en este icono, se mostrar la pantalla de configuracin. Se recomienda cambiar la carpeta de destino en la unidad de recoleccin de evidencia extrable. Adems, consultar la seccin "Generacin automtica de nombre de archivo en la nueva captura" opcin crear automticamente nombres de archivo que comienzan con el nombre en el cuadro nombre de archivo y agregar automticamente un sello de fecha y hora al nombre del archivo. Este es un ejemplo del archivo autogenerado: Capture12-12-2005-15.11.55 PM.png Para capturar la pantalla completa, el usuario presiona el botn PrintScreen. Para capturar la ventana activa, presione ALT + PrintScreen, y para seleccionar un rea personalizada, pulse CTRL + PrintScreen. Con CTRL + PrintScreen, el cursor cambiar a una crosshair.Move el cursor a la esquina superior izquierda, a continuacin, haga clic y mantenga pulsado el botn izquierdo del ratn y arrastre el cursor hasta el la esquina inferior derecha. Suelte el botn

64

Traducido por Sykrayo Espaa

del ratn para tomar la fotografa. Una vez que haya terminado las capturas de pantalla, debe generar el MD5 de la pantalla para asegurarse de que no se modifican.

65

Traducido por Sykrayo Espaa

Messenger Password http://www.nirsoft.net/utils/mspass.html Desde el sitio web: MessenPass es una herramienta de recuperacin de contrasea que revela las contraseas de las siguientes aplicaciones de mensajera instantnea:

MSN Messenger Windows Messenger (en Windows XP) Yahoo Messenger (versiones 5.xy 6.x) ICQ Lite 4.x/2003 AOL Instant Messenger (slo versiones mayores, la contrasea en las ltimas versiones de AIM no se puede recuperar) AOL Instant Messenger / Netscape 7 Trillian Miranda GAIM

MessenPass slo se puede utilizar para recuperar las contraseas para el actual usuario ha iniciado sesin en el equipo local. No se puede utilizar para el acaparamiento de las contraseas de otros usuarios. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar automticamente y mostrar todas las contraseas que pueda encontrar.

66

Traducido por Sykrayo Espaa

Desde la pgina web: Al ejecutar MessenPass, que detecta automticamente las aplicaciones de mensajera instantnea instalado en su ordenador, descifra las contraseas que se almacena y muestra todos los pares de nombre de usuario / contrasea que se encuentra en la ventana principal de MessenPass. Si de alguna razn, MessenPass no puede localizar la aplicacin de mensajera instantnea instalado, usted puede tratar de seleccionar manualmente la carpeta correcta de su aplicacin de mensajera instantnea mediante la opcin "Carpetas Seleccione '(en el men Archivo). En la ventana principal de MessenPass, puede seleccionar uno o ms elementos de contrasea, y luego copiarlos al portapapeles en formato delimitado por tabulaciones (se puede pegar este formato en Excel u Open ejercicio de hoja de clculo), o guardarlos en text / html archivos.

67

Traducido por Sykrayo Espaa

Mail Password Viewer http://www.nirsoft.net/utils/mailpv.html Desde el sitio web: Mail PassView es una pequea herramienta de recuperacin de contrasea que revela las contraseas y otros detalles de la cuenta para los siguientes clientes de correo:

Outlook Express Microsoft Outlook 2000 (POP3 y SMTP Cuentas nicamente) Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP y SMTP Cuentas) IncrediMail Eudora Netscape 6.x/7.x Mozilla Thunderbird Grupo de Correo Gratis Yahoo! Mail - Si la contrasea se guarda en la aplicacin Yahoo! Messenger. Correo de Hotmail / MSN - Si la contrasea se guarda en la aplicacin MSN Messenger. Gmail - Si la contrasea se guarda mediante la aplicacin Gmail Notifier.

Para cada cuenta de correo electrnico, se muestran los siguientes campos: Nombre de la cuenta, de aplicaciones, de correo electrnico, servidor, tipo de servidor (POP3/IMAP/SMTP), nombre de usuario y la contrasea. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar automticamente y mostrar todas las contraseas que pueda encontrar.

68

Traducido por Sykrayo Espaa

Proteja Visor de almacenamiento http://www.nirsoft.net/utils/pspv.html Desde el sitio web: Protected Storage PassView es una pequea utilidad que revela las contraseas almacenadas en el ordenador a travs de Internet Explorer, Outlook Express y MSN Explorer. Las contraseas se revelan mediante la lectura de la informacin del almacenamiento protegido. A partir de la versin 1.60, esta utilidad muestra todas las cadenas de Autocompletar almacenadas en Internet Explorer, no slo la contrasea de Autocompletar, al igual que en las versiones anteriores. Esta utilidad puede mostrar 4 tipos de contraseas: 1. Contraseas de Outlook: Al crear una cuenta de correo en Outlook una cuenta POP3 en Microsoft Outlook Express o, y se elige la opcin "Recordar contrasea" en las propiedades de la cuenta, la contrasea se guarda en el almacenamiento protegido, y esta utilidad puede instantneamente revelarla. Tenga en cuenta que si eliminar una cuenta de Outlook Express existente, la contrasea no se puede quitar de la Almacenamiento protegido. En tal caso, la utilidad no ser capaz de obtener el nombre de usuario de la cuenta eliminada, y slo se muestra la contrasea. A partir de la versin 1.50, se muestran tambin las contraseas de las identidades de Outlook Express. 2. Contraseas de Autocompletar en Internet Explorer: Muchos sitios Web que proporciona una pantalla de inicio de sesin con los campos de contrasea y nombre de usuario. Al iniciar sesin en el sitio Web, Internet Explorer puede preguntarle si usted quiere recordar la contrasea para la prxima vez que inicie sesin en este sitio Web. Si optan por recordar la contrasea, el nombre de usuario y la contrasea se guardan en el almacenamiento protegido, y por lo tanto pueden ser revelados por Protected Storage PassView. En algunas circunstancias, mltiples pares de nombre de usuario y contraseas se almacenan de la misma ventana de inicio de sesin. En tal caso, las contraseas adicionales se muestran como sub-elementos del primer par usuario-contrasea. En los subtemas, el nombre del recurso se muestra como 3 puntos ('...') 3. Sitios protegidos con contrasea en Internet Explorer: Algunos sitios Web le permite iniciar sesin con "autenticacin bsica" o la autenticacin "desafo / respuesta". Al entrar en el sitio Web, Internet Explorer muestra un cuadro de dilogo de inicio de sesin especial y le pide que introduzca su nombre de usuario y contrasea. Internet Explorer tambin le da la opcin de guardar el par de nombre de usuario / contrasea para la prxima vez que ingrese-on. Si decide guardar los datos de inicio de sesin, el nombre de usuario y la contrasea se guardan en el almacenamiento protegido, y por lo tanto pueden ser revelados por Protected Storage PassView. En esta categora, tambin puede encontrar las contraseas de servidores FTP. 4. MSN Explorer Passwords: El navegador MSN Explorer almacena 2 tipos de contraseas en el almacenamiento protegido: o Contraseas Sign-up o Autocompletar contraseas 69

Traducido por Sykrayo Espaa

Por defecto, esta utilidad muestra los 4 tipos de contraseas. Usted puede optar por mostrar u ocultar un tipo especfico de contrasea, eligiendo el tipo de contrasea desde el men View. Esta utilidad slo puede mostrar las contraseas de la actual usuario registrado. no puede revelar las contraseas de otros usuarios.

70

Traducido por Sykrayo Espaa

Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar automticamente y mostrar todas las contraseas que pueda encontrar.

La informacin de Protected Storage se guarda en un lugar especial en el Registro. La base fundamental del almacenamiento protegido se encuentra en la siguiente clave: "HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider" Usted puede navegar por encima de la clave en el Editor del Registro (Regedit), pero usted no ser capaz de ver las contraseas, ya que estn encriptados. Adems, algunos datos de contraseas estn ocultas por el sistema operativo.

71

Traducido por Sykrayo Espaa

Network Password Viewer http://www.nirsoft.net/utils/network_password_recovery.html Desde el sitio web:. Cuando se conecta a un recurso compartido de red de la LAN o de tu cuenta de Passport, Windows XP le permite guardar su contrasea para poder utilizarlo en cada vez que se conecta al servidor remoto. Esta utilidad recupera todas las contraseas de red almacenados en su sistema para el actual usuario registrado. Qu contraseas esta utilidad puede recuperar? Entre las contraseas de los ordenadores remotos en su red LAN. Las contraseas de cuentas de correo en Exchange Server (almacenadas por Outlook 2003) Contrasea de la cuenta de MSN Messenger (slo hasta la versin 7.0, para las versiones ms recientes - Utilizar MessenPass) Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar automticamente y mostrar todas las contraseas que pueda encontrar.

72

Traducido por Sykrayo Espaa

Registry Viewer http://www.nirsoft.net/utils/regscanner.html Desde el sitio web: RegScanner es una pequea utilidad que te permite explorar el registro, encontrar los valores del registro que desee que coincidan con los criterios de bsqueda especificados, y mostrarlos en una lista. Despus de encontrar los valores del registro, usted puede saltar fcilmente al valor justo en RegEdit, simplemente haciendo doble clic en el elemento del registro deseado. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar y mostrar la pgina Opciones de exploracin del registro automticamente. Esto puede ser usado para limitar las bsquedas, que puede acelerar enormemente el proceso.

Una vez que el usuario hace clic en "OK", el explorador mostrar las claves de registro que coincidan con sus opciones. 73

Traducido por Sykrayo Espaa

74

Traducido por Sykrayo Espaa

IE History Viewer http://www.nirsoft.net/utils/iehv.html Desde el sitio web: Cada vez que se escribe una direccin URL en la barra de direcciones o haga clic en un enlace en el navegador Internet Explorer, la direccin URL se agrega automticamente al archivo de ndice de la historia. Cuando se escribe una secuencia de caracteres en la barra de direcciones de Internet Explorer que todas las URL que comienza con la secuencia de caracteres que ha escrito (a menos caracterstica Autocompletar para direcciones Web se apaga) sugiere automticamente. Sin embargo, Internet Explorer no le permite ver y editar toda la lista de URL que se almacena en el archivo histrico. Esta utilidad lee toda la informacin del archivo histrico en el equipo, y muestra la lista de todas las URL que ha visitado en los ltimos das. Tambin le permite seleccionar una o varias direcciones URL, y luego eliminarlos del archivo histrico o guardarlos en texto, HTML o XML. Adems, se le permite ver la lista de URL visitada de otros perfiles de usuario en el equipo, e incluso acceder a la lista de URL visitadas en un equipo remoto, siempre y cuando tenga permiso para acceder a la carpeta de historial. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa mostrar automticamente el historial de URL.

75

Traducido por Sykrayo Espaa

76

Traducido por Sykrayo Espaa

Asterisk Logger http://www.nirsoft.net/ Desde el sitio web: Muchas aplicaciones, como CuteFTP, CoffeeCup Free FTP, VNC, IncrediMail, Outlook Express, y otros, le permite teclear una contrasea para su uso en la aplicacin. La contrasea introducida no aparece en la pantalla, y en lugar de la contrasea real, ver una secuencia de asterisco ('****') caracteres. Esta utilidad puede revelar las contraseas almacenadas detrs de los asteriscos en la contrasea cuadros de texto estndar. Asterisk Logger es un sucesor de la utilidad AsterWin. Se revela las contraseas asterisco de la misma manera como la utilidad AsterWin, pero tiene algunas ventajas sobre la utilidad anterior:

Usted no tiene que pulsar un botn para revelar las contraseas asterisco. Cada vez que se abre una nueva ventana que contiene un cuadro de contrasea, Asterisk Logger revela automticamente la contrasea en el interior de la caja de contrasea, y aadir un registro a la lista de contraseas en la ventana principal de Asterisk Logger. Asterisk Logger muestra informacin adicional acerca de la contrasea de revelado: La fecha / hora que la contrasea se revel el nombre de la aplicacin que contiene el cuadro de contrasea revelada, y el archivo ejecutable de la aplicacin. Asterisk Logger le permite al guardar las contraseas en un archivo HTML y 3 tipos de

archivos de texto. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa se iniciar automticamente y mostrar todas las contraseas que pueda encontrar.

77

Traducido por Sykrayo Espaa

78

Traducido por Sykrayo Espaa

IE Cookie Viewer http://www.nirsoft.net/ Utils / iecookies.html Desde el sitio web: IECookiesView es una pequea utilidad que muestra los detalles de todas las cookies que se Internet Explorer almacena en su computer.In Adems, le permite realizar las siguientes acciones:

Ordenar la lista de cookies por cualquier columna que desea, haga clic en el encabezado de la columna. Un segundo clic en el tipo de columna en orden descendente. Encontrar una galleta en la lista especificando el nombre del sitio Web. Seleccionar y eliminar las cookies no deseadas. Guarde las galletas en un archivo de texto legible. Copiar informacin de las cookies en el portapapeles. Actualizar automticamente la lista de cookies cuando un sitio Web le enva una cookie. Mostrar las cookies de otros usuarios y de otros equipos.

Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa mostrar automticamente las cookies en el sistema.

79

Traducido por Sykrayo Espaa

Mozilla Cookie Viewer http://www.nirsoft.net/utils/mzcv.html Desde el sitio web: MozillaCookiesView es una alternativa a la norma 'Cookie Manager "proporcionado por Netscape y Mozilla. Muestra los detalles de todas las cookies almacenadas en el archivo de cookies (cookies.txt) en una mesa, y le permite guardar la lista de cookies en texto, HTML o XML, eliminar las cookies no deseadas, y una copia de seguridad / restaurar el archivo de cookies. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmacin.

Una vez que el usuario hace clic en "S", el programa mostrar automticamente las cookies en el sistema.

80

Traducido por Sykrayo Espaa

Los documentos relativos a la gestin de crisis, Informtica Forense, Ordenador Seguridad y Delitos Informticos En esta seccin se proporciona al usuario el acceso a algunos documentos de referencia comunes en formato PDF. Los documentos incluyen un formulario de cadena de custodia, la conservacin de los datos probatorios digital, Gua forense Linux para principiantes, y el examen forense para la gua de la evidencia digital. Estos documentos son muy recomendables, y el investigador deben revisar antes de realizar cualquier examen forense.

Estos documentos se puede acceder haciendo clic en su respectivo icono.

Cadena de Custodia Se trata de una cadena de custodia de la muestra de la forma utilizada en las investigaciones forenses por correo fense.inc. No debe ser una cadena independiente de la forma de custodia creadas para cada una de las pruebas recogidas. 81

Traducido por Sykrayo Espaa

82

Traducido por Sykrayo Espaa

Preservacin de Evidencia Digital El ttulo completo de este artculo es "Preservacin de Evidencia Digital Frgil por equipos de respuesta", y fue escrito por el Agente Especial Jesse Kornblum, Fuerza Area Oficina de Investigaciones Especiales en 2002. De la Introduccin: La naturaleza de las pruebas por ordenador hace inherentemente frgil. Los datos pueden ser borrados o cambiados sin dejar rastro, lo que dificulta el trabajo de un investigador para encontrar la verdad. Los esfuerzos de los primeros en responder son crticos para asegurar que el pruebas se recopila y conserva de forma sencilla, segura y vlida a efectos legales. Este documento describe los retos primera cara respondedores y algunas estrategias para lidiar con ellos. A modo de ejemplo, el documento tambin detalla una herramienta de ejemplo para casos de emergencia a los incidentes en los equipos basados en Windows. Este documento tambin se describe la creacin de FRED, Evidence disco de la primera respuesta, que se incluye en el disco de la hlice. Mientras FRED se ha actualizado de manera significativa desde este trabajo fue publicado originalmente, este documento proporciona la informacin bsica sobre la forma de preservar la mayor cantidad posible de pruebas, mientras que molestar lo menos posible.

Gua de Linux Forense para principiantes Uno de los primeros y ms extensa gua sobre el uso de Linux para el anlisis forense, "la aplicacin de la ley y el examinador forense Introduccin a Linux: Gua de un principiante", de Barry J. Grundy, agente especial de la Oficina del Inspector General de la NASA, Divisin de Delitos Informticos. En primer escrito

83

Traducido por Sykrayo Espaa

en 1998, la revisin ms reciente fue en 2004. Si bien esto no es Helix especfico, proporciona una gran cantidad de informacin de referencia para los investigadores que estn dispuestos a arrancar en el entorno de arranque de Linux Helix.

84

Traducido por Sykrayo Espaa

Del prlogo: El propsito de este documento es proporcionar una introduccin al sistema operativo GNU / Linux (Linux) como una herramienta de anlisis para los investigadores de delitos informticos. Hay mejores libros escritos sobre el tema de Linux (por mejores profesionales cualificados), pero mi esperanza aqu es proporcionar un nico documento que permite al usuario sentarse en el intrprete de comandos (smbolo del sistema) por primera vez y no ser abrumado por un libro de 700 pginas. Herramientas disponibles a los investigadores para el anlisis forense se presentan con ejercicios prcticos. Esto es de ninguna manera pretende ser la definitiva "cmo hacer" en los mtodos forenses utilizando Linux. Ms bien, es un punto de partida para aquellos que estn interesados en la bsqueda de la auto-educacin que se necesita para ser competente en el uso de Linux como herramienta de investigacin. No todos los comandos que se ofrecen aqu va a funcionar en todas las situaciones, pero con la descripcin de los comandos bsicos de que dispone un investigador espero para "empezar a rodar la pelota". Voy a presentar los comandos, el lector tiene que dar seguimiento a las opciones y aplicaciones ms avanzadas. Sabiendo cmo estos comandos de trabajo es tan importante como saber qu escribir en el prompt. Si usted es incluso un usuario Linux intermedia, entonces mucho de lo que est contenido en estas pginas habr revisin. An as, espero que encuentres algo de ella til. En el ltimo par de aos he escuchado varias veces de colegas que han tratado de Linux con la instalacin, y luego procedi a sentarse y preguntarse "y ahora qu?" Usted tiene una copia de esta introduccin. Ahora descargar los ejercicios y conducir en.

El examen forense de evidencia digital Publicado en abril de 2004 por el Departamento de Justicia de EE.UU., Oficina de Programas de Justicia, Instituto Nacional de Justicia, este informe especial "El examen forense de evidencia digital: una gua para la aplicacin de la ley", establece el investigador forense digital de una gua detallada sobre cmo recoger , evidencia digital de procesos y documentos. Del prlogo: Ayudar a los organismos policiales y fiscalas, una serie de guas que se ocupan de la evidencia digital ha sido seleccionada para abordar el proceso de investigacin completo. Este proceso se expande desde la escena del crimen a travs del anlisis y, finalmente, en la sala del tribunal. Las guas resumen la informacin de un grupo selecto de profesionales que estn bien informados sobre el tema. Estos grupos son ms comnmente conocidas como grupos de trabajo tcnicos. Esta gua es el segundo de una serie.

85

Traducido por Sykrayo Espaa

La primera gua, Electronic Crime Scene Investigation: Gua para equipos de respuesta, est disponible a travs del sitio Web Instituto Nacional de Justicia en http://www.ojp.usdoj.gov/nij/pubs- sum/187736.htm.

86

Traducido por Sykrayo Espaa

Examinar contenido del CD-ROM y Host Este es un simple explorador de archivos que proporcionar al investigador con informacin sobre el archivo seleccionado. Se mostrar el nombre del archivo, creado, fechas accedidos y modificados, Atributos, CRC, MD5 y el tamao del archivo.

Si el "Clculo de hash MD5 de archivos" est seleccionado, el del hash MD5 tambin se mostrar con el resto de la informacin del archivo. Est desactivada de forma predeterminada, ya que a veces puede tomar un tiempo para generar el MD5 para archivos de gran tamao. Debido a la naturaleza del sistema operativo Windows, la primera vez que seleccione un archivo (en cualquier lectura / escritura de los medios de comunicacin, como por ejemplo un disco duro) se mostrar la fecha de acceso del ltimo acceso. Si selecciona el mismo archivo, se mostrar la fecha y hora de la conexin anterior. Esta es una caracterstica del sistema operativo Windows, y no se puede prevenir fcilmente. Este es uno de los problemas con el examen de un sistema en vivo - acciones del investigador pueden modificar el sistema. Aqu est un ejemplo: 87

Traducido por Sykrayo Espaa

En la lista de archivos recuperados, vemos que la fecha de acceso a CONVAR10.jpg es Jueves, 29 de septiembre 2005. Si se selecciona otro archivo, y luego se vuelve a seleccionar CONVAR10.jpg, veremos que los datos de acceso ha cambiado hasta la fecha de hoy. Todo lo dems sigue siendo el mismo.

88

Traducido por Sykrayo Espaa

Analizar en busca de imgenes a partir de un sistema en vivo Esta herramienta permitir al investigador para analizar rpidamente el sistema para ver si hay algunas imgenes grficas sospechosas en el sistema sospechoso. Muchos formatos grficos diferentes son reconocidos, y se muestran como miniaturas. Esta caracterstica se aade para apoyar la "Knock y conversaciones." Esto permite que un oficial de libertad condicional a una vista previa de un sistema de imgenes grficas que pueden violar la libertad condicional. Cuando se selecciona el anlisis de las imgenes icono, aparece la siguiente ventana:

El investigador debe seleccionar "Carpeta de carga" y seleccione la unidad que desea examinar. Tenga en cuenta que, dependiendo del tamao del disco duro, la cantidad de memoria, y la velocidad del sistema, esto puede tomar un tiempo. Un recordatorio de las ventanas aparece para informar al investigador. El escaneo no se comenzar hasta que se presione el botn "OK". Los investigadores tendrn que examinar cada letra por separado. 89

Traducido por Sykrayo Espaa

Al hacer doble clic en cualquier miniatura abrir la imagen en el visor local. Puede ampliar o reducir el tamao de las miniaturas, haga clic en "Ampliar" o "Reducir". Tenga en cuenta que esto va a aumentar o contraer el volumen de todas las miniaturas, y puede tardar unos minutos en completarse, dependiendo del nmero de imgenes en miniatura. Tambin tenga en cuenta que esta aplicacin va a cambiar la hora del ltimo acceso a casi todos los archivos en el sistema, ya que examina los encabezados de los archivos para determinar si el archivo es un grfico. Nota: La utilidad de imagen de exploracin no se encuentra actualmente gif archivos debido a una restriccin de licencia antigua, pero se actualizar en breve..

90

Traducido por Sykrayo Espaa

Salir de Helix Hay varias formas de salir de la aplicacin Helix. 1. Archivo / Salir de la barra de men - esto le pedir guardar un PDF de sus transacciones 2. Haga clic en el botn de cierre de Windows - este le pedir guardar un PDF de sus transacciones 3. Haga clic en el icono de la hlice en la bandeja del sistema - esto no va a salvar a sus transacciones. Tenga en cuenta que las dos primeras formas de salir se guarde una copia de todas sus transacciones, mientras que la salida desde el icono de la bandeja del sistema no lo har. Si decide guardar la salida, se le indicar dnde desea guardar el archivo. Se debe guardar en un recurso compartido de red o una unidad de recoleccin de pruebas extrables para evitar cualquier contaminacin de la computadora sospechoso. El nombre de archivo predeterminado es Helix_Audit_Log.pdf. Ejemplo de Salida

91

Traducido por Sykrayo Espaa

Helix desde la lnea de comandos (Windows Side)


Mientras que la interfaz grfica de usuario para la hlice en la parte de Windows hace que sea muy fcil de ejecutar muchas de las herramientas, hay quienes sostienen que los pisotea GUI demasiada memoria, y por lo tanto contaminan la escena del crimen. Es posible ejecutar muchas de las herramientas de Windows (pero no todos ellos) a partir de una lnea de comandos. Nota: Al realizar una vista previa en vivo de un sistema, muchas de las acciones tomadas pueden y modificar la informacin de la mquina sospechosa. Este mtodo slo debe utilizarse cuando el sistema no puede ser tomado fuera de lnea. No Inicio de la GUI El Helix GUI est configurado para iniciarse automticamente mediante el archivo autorun.inf en el CD. Para evitar que la GUI se inicie automticamente, hay varias tcnicas que se pueden utilizar: 1. Mantenga pulsada la tecla SHIFT cuando el CD Helix se inserta en el sistema. 2. Deshabilitar la ejecucin automtica en el sistema de destino 3. Remaster el CD Helix y eliminar el archivo autorun.inf. Desde un shell de comandos El shell de comandos que necesita para comenzar depende del sistema operativo del host. Los shells de comandos se encuentran en el Ir? directorio del CD. Windows NT \ Ir \ nt Windows 2000 \ Ir \ 2k Windows XP \ Ir \ xp Windows 2003 \ Ir \ 2k3 Dirjase a la gua para su sistema operativo especfico y ejecutar el cmd.exe. Este es un binario esttico en una CD ROM, por lo que no se ve comprometida por cualquier tipo de malware que se ejecuta en el sistema.

92

Traducido por Sykrayo Espaa

Una vez que el shell de comandos se est ejecutando, es necesario ejecutar un archivo de configuracin del entorno, para establecer la ruta de acceso y las variables de entorno para que seale a utilidades en el CD, y no en el sistema de destino.

93

Traducido por Sykrayo Espaa

Dentro de la consola de comandos, ejecute el comando:

cmdenv.bat

Esto restablecer la ruta del sistema para que apunte a la CD, junto con la adicin de caminos para las diversas herramientas forenses.

Ahora debe estar ejecutando en el mismo entorno que si ha seleccionado el "Command Shell" opcin de la segunda pgina del men de Respuesta a Incidentes en el Helix GUI. Herramientas disponibles desde la lnea de comandos La siguiente es una lista de algunas de las herramientas disponibles en la lnea de comandos de Windows. Algunas de estas herramientas lanzar una interfaz grfica de usuario de la aplicacin, mientras que otros son herramientas de lnea de comandos puros. Algunas de estas herramientas son muy poderosos, y pueden ser muy destructivos, as que mucho cuidado al usarlos. 2hash-v0-2w9xMD5 y SHA1 hash paralelas (Windows 9x) 2hash-v0-2wxp MD5 y SHA1 hash paralelas (Windows XP) ver AccessEnumfull de su sistema de archivos y la configuracin de seguridad del Registro AFindNTFS Ultimo acceso Buscador de Tiempo Agresor Un oyente de puerto TCP / UDP Auditad NTFS SACL Reporter - Encuentra archivos auditados os AutorunsDisplays qu programas estn configurados para ejecutarse durante al arranque o Conectarse Versin de la lnea de AutorunscCommand Autoruns Scanner archivo de texto BintextA BoppingBack orificio Pinger browselistlists nombres de equipo y los roles que desempean en la red CIScanIdentify dispositivos Cisco potencialmente vulnerables cmdlineShows procesos, identificacin de procesos, rutas y parmetros de lnea de comandos cryptcat netcat mejorada con cifrado Twofish DACLchkDumps cualquier ACL que se ha denegado y mascotas ACE Fecha y hora DatetimeSystem ddUnix duplicador de discos Que DiskViewshows un mapa grfico del disco DSScanscan mltiples rangos de direcciones IP para detectar sistemas de nombres de cuenta dumpusersdump vulnerables e informacin 94

Traducido por Sykrayo Espaa

Informacin EFSDUMPDump sobre archivos cifrados Win2K efsviewlists los usuarios que las claves de descifrado o claves de recuperacin para un archivos EFS etherchangechange la direccin Ethernet de los adaptadores de red en Windows

95

Traducido por Sykrayo Espaa

filehashercalculates el hash MD5 o SHA para un archivo Filemonmonitors y muestra la actividad del sistema de archivos en un sistema en tiempo real, FileStatDumps seguridad NTFS, archivos y atributos de flujo Archivos especficos FilewatchMonitor foremostCarve archivos basados en encabezado y pie de pgina Redireccionamiento FPipeTCP / UDP FPort TCP / IP Proceso a Port Mapper Disco Evidencia de fredFirst Responder (FRED) fruc First Responder Utilidad (FRU) Analizador galletaCookie para Internet Explorer gplist listas de informacin sobre el Grupo aplica polticas gsd Muestra la DACL de cualquier DLL HandleGUI basado en Windows NT servicio y manejar espectador HBusque buscador de archivos ocultos con acceso ltimos tiempos Caza enumerador compartido SMB y buscador de administrador iplistEnumerates la dcada de IP de la computadora ircrIncident Report Collection respuesta (IRCR2) ListDLLs Listar todos los archivos DLL que se cargan actualmente listmoduleslists los mdulos (EXE y DLL) que se cargan en un proceso LivekdUse depuradores de kernel de Microsoft para examinar un sistema en vivo. lnssearches para flujos NTFS LogonSessions lista activa logon sesiones lsadump2Dump LSA secretos Bsqueda macmatch archivos por sus tiempos de Mac sin necesidad de cambiarlos md5deepRecursive suma MD5 con bsquedas db. md5sumMD5 generador Sistemas MessengerScanScan para MS mensajero nbnameDecodes vulnerabilidad y muestra NetBIOS Name trfico nc Netcat NTFSInfo Muestra informacin sobre los volmenes NTFS NTLast Recuperar informacin de acceso openportsView todos los TCP y UDP abiertos pascoForensic herramienta para el anlisis de Internet Explorer herramienta pddImaging para el anlisis forense de dispositivos herramienta de inspeccin Palm OS plataforma periscopePE archivo pmdumpdump los contenidos de la memoria de un proceso para un archivo Archivos ProcexpLists, claves de registro y otros procesos de objetos han abierto procinterrogate Muestra la lista de procesos, dlls asociadas, suma md5 de cada dll. promiscdetect comprueba si el adaptador de red (s) se est ejecutando en modo promiscuo Psexec ejecutar procesos de forma remota PsfileSee qu archivos estn abiertos de forma remota Psgetsiddisplay el SID de un equipo o un usuario Psinfogathers informacin clave sobre el sistema de Windows local o remoto PskillTerminate procesos locales o remotos Informacin PslistShow sobre los procesos y subprocesos PsLoggedO Mostrar usuarios conectados a un sistema de n Visor de registro de eventos Psloglistcommand-line Pspasswdchange contrasea de una cuenta en el sistema local o remoto 96

Traducido por Sykrayo Espaa

PsService Servicio de espectador y el controlador Utilidad de apagado Psshutdowncommand-line

97

Traducido por Sykrayo Espaa

PssuspendSuspend y reanudar los procesos pstoreview listas de los contenidos del almacenamiento protegido Que Psuptimeshows el tiempo que un sistema ha estado funcionando desde el ltimo reinicio pwdump2Dump la base de datos SAM PwDump3e Obtener LM hashes de contraseas de un servidor regCommand utilidad de lnea de manipulacin del registro Regmonshow usted qu aplicaciones tienen acceso a su "Papelera de reciclaje" analizador de registro rifiuti. utilidad rmtsharecommand-line que le permite configurar o borrar acciones SecReport remota Informes de seguridad (SecReport) ServiceList lista de servicios que se ejecutan en un sistema Servicelist utilidad para consultar el estado del servicio de una estacin de trabajo o servidor SFindAlternate secuencia de datos Buscador sha1deep Recursiva sha1 suma con bsquedas db. sha256deepRecursive sha256 suma con bsquedas db. Showin Muestra informacin especfica ventana SID2US Convertir SID de usuario ID ER Escner de puertos Slcommand-line StreamsDisplays qu archivos NTFS tienen corrientes asociados a ellos stringsSearch de cadenas ANSI y UNICODE en imgenes binarias versin tcpvconcommand lnea de TCPView TcpviewView todas TCP abierto y UDP puntos finales tigerdeepRecursive suma tigre con bsquedas db. Trucha Traceroute y el programa Whois user2sidConvert ID de usuario a SID UserDumpCommand herramienta de lnea para volcar informacin de usuario bsica volume_dumpDisplays informacin sobre los volmenes lgicos en un sistema WF Forense de Windows Toolchest (WFT) T suma hidromasaje whirlpooldeepRecursive con bsquedas db. winfoqueries el anfitrin de la informacin facilitada por una sesin NULL winrelay TCP / UDP forwarder / redirector que funciona con IPv4 e IPv6 limpie Secure eliminacin de archivos

98

Traducido por Sykrayo Espaa

Helix arranque (Linux Side)


Uno de los mayores beneficios de la hlice es el medio forense Linux arranque. Linux es un sistema operativo de su ordenador y de su ncleo. Diseado por Linux Torvalds cuando an estaba en la universidad, Linux es uno de los ejemplos ms prominentes del software libre y del desarrollo de cdigo abierto: a diferencia de los sistemas operativos propietarios como Windows y Mac OS, todo su cdigo fuente subyacente est disponible al pblico para que cualquiera pueda utilizar libremente, modificar, mejorar y redistribuir (Wikipedia, 2006b). Helix se basa en una versin de Linux llamada Desarrollado por Klaus Knoppix. Knopper, Knoppix es una versin de Linux que se ejecuta en su totalidad de un CD (Wikipedia, 2006). Esto se llama un LiveCD. En 2003, Drew Fahey de e-fense.com Knoppix modificada de modo que pudiera ser utilizado para investigaciones digitales y anlisis forense. Helix, como Knoppix, se iniciar en un autnomo entorno Linux. Este entorno ha sido ajustado para fines forenses. Si bien hay muchas distribuciones de Knoppix como Knoppix-STD, Helix slo se concentra en la respuesta a incidentes y anlisis forense. Helix arrancar en todas las arquitecturas x86 que constituyen la mayora de las computadoras en el mundo. Es por esta razn por la que la hlice para el futuro inmediato se mantendr en un CDROM. Casi todos los ordenadores en el mundo tiene un CD-ROM, pero la mayora no tienen DVD, etc Mientras derivados como Helix USB se obtendrn, es ms estable en la plataforma CD. Aprender ms acerca de Linux Linux es un sistema rico, complejo, que opera. Este segmento del manual slo cubre las herramientas de respuesta forense e incidentes incluidos con el medio ambiente Helix. Hay numerosos libros, revistas y tutoriales disponibles para ayudarle a aprender Linux. Si bien no es Windows, es similar en muchos aspectos, y debe ser todo lo que mucho antes de que el usuario se sienta cmodo trabajando con l. Para obtener ms informacin acerca de Linux, echar un vistazo a algunos de estos sitios web: http://www.linux. Org - Todo sobre Linux 99

Traducido por Sykrayo Espaa

http://www.us.debian.org / - La instalacin de la base de que la hlice se basa.

100

Traducido por Sykrayo Espaa

Temas Forenses (Side Linux)


Proteccin contra escritura de los medios de comunicacin Para asegurar que los medios evidencias digitales no se modifica, antes de que se coloca en un sistema de duplicacin, debe estar en "Slo lectura", "bloqueado" o "proteccin contra escritura", para evitar la modificacin accidental. De forma predeterminada, Helix establece todos los dispositivos de slo lectura, de modo que no pueden ser modificados fcilmente. Sin embargo, todava se recomienda hardware de proteccin contra escritura de medios digitales cuando sea posible. Consulte los temas forenses (Windows Side) para obtener una lista completa de los medios de comunicacin y las diversas formas de escribir protegerlos. Configuracin de un dispositivo USB para lectura / escritura Si est utilizando el lado de Linux Helix para buscar todas recopilar pruebas, o una imagen de una unidad, es posible que desee guardar algunos archivos en la una unidad flash USB o una unidad flash. Cuando se inserta el dispositivo USB, Helix debe reconocerlo y poner el icono correspondiente en el escritorio. Sin embargo, de acuerdo con la filosofa de la hlice, el dispositivo ser de slo lectura. Los dispositivos USB se montan normalmente a la / Media / sda o / punto de montaje media/sda1. Para cambiar el dispositivo de manera que los datos se pueden guardar en l, abrir un shell de comandos y ejecutar los siguientes comandos:

umount / media/sda1

Esto asegura que la unidad se desmonta. Se puede generar un error si la unidad no se monta, pero que est bien. Esto montar la unidad como de lectura / escritura, y usted puede ahora usted puede escribir en l. Por ltimo, esto desmontar la unidad, para que pueda ser eliminado.

mount-o rw / dev/sda1 / media/sda1

umount / media/sda1

Utilizando Helix en VMWare Si usted tiene acceso a VMWare (http://www.vmware.com/), puede "arrancar" Helix en la mquina virtual. Esto le dar la oportunidad de probar el lado de Linux Helix sin tener que reiniciar su mquina fsica. Para utilizar Helix en VMWare, crear una mquina virtual. Estos son algunos ejemplos de configuracin, pero estos pueden ser modificados para funcionar mejor con su propia configuracin del sistema. 101

Traducido por Sykrayo Espaa

Para arrancar la hlice en el CD-ROM virtual, puede utilizar la unidad fsica, pero el proceso es ms rpido con la imagen ISO descargados. Como se muestra en el ejemplo anterior, el CDROM est configurado para utilizar la imagen ISO. Cuando se inicia la mquina virtual, se iniciar desde el CD-ROM virtual, y Helix se iniciar. Por supuesto, hay algunas limitaciones, y las complejidades de esta manera el uso de la hlice. Para conocer realmente Helix es necesario cargar el CD Helix en una mquina real, y arrancar todo. El sistema de archivos Helix Obviamente Helix se ejecuta desde un CD-ROM que utiliza el estndar ISO9660 por su sistema de archivos. Esto tiene sus ventajas y desventajas. El mayor beneficio es que los archivos en el CD-ROM no se pueden cambiar por lo que es un almacenamiento permanente y la solucin de seguridad. Puede usar el CD en un papel de respuesta a incidentes y no tener que preocuparse por sus archivos estn alterando. Sin embargo, esto tambin es el inconveniente ms grande que no se puede cambiar cualquiera de los archivos una vez que estn en su lugar. Por qu quieres cambiar un archivo? Bueno, la razn principal es que los valores de configuracin actualizados. As que cmo se hace esto en una sola escritura medio como un CD-ROM? En realidad, hay dos maneras de hacer esto, la vieja manera y el nuevo camino. La forma ms antigua consista en vincular los archivos que necesitan ser cambiadas en un rea especfica que se almacena en un disco RAM. Esto funcion, pero fue una mala solucin para 102

Traducido por Sykrayo Espaa

hacer la cantidad de archivos que tendran que estar vinculadas y el hecho de que los archivos

103

Traducido por Sykrayo Espaa

tendra que estar vinculado antes de quemar el archivo ISO en un CD-ROM. La nueva forma implica el uso de una capa del sistema de archivos llamado unionfs. Unionfs
Unionfs fusiona directorios en una sola vista unificada. Una coleccin de directorios fusionadas se llama una unin, y cada directorio fsico se conoce como una rama. Cada rama se asigna prioridad y una rama con una prioridad ms alta prevalece sobre una rama con una prioridad ms baja. Unionfs slo funciona en los directorios en lugar de dispositivos (como cowloop). Si existe un directorio en dos ramas subyacentes, el contenido y los atributos del directorio unionfs son la combinacin de los dos directorios inferiores. Unionfs elimina automticamente las entradas de directorio duplicadas.

Los sindicatos Copia en escritura


Unionfs pueden mezclar de slo lectura y de lectura y escritura ramas. En este caso, la unin en su conjunto es de lectura y escritura y unionfs utiliza copy-on-write semntica para dar la ilusin de que es posible modificar los archivos y directorios de slo lectura ramas. Si el CD-ROM est montado en / mnt / cdrom, y un directorio vaco es creado en / tmp / cd, a continuacin, Unionfs se pueden montar de la siguiente manera:
Ejemplo - Copy-On-Write Unin

# Mount-t unionfs-o dirs = / tmp / cd / mnt / ninguno / cdrom mnt / cdrom-rw


Cuando se ve a travs de / mnt / cdrom-rw, parece como si se puede escribir en el CD-ROM, pero todas las escrituras en realidad tendr lugar en / tmp / cd. Escribir para leer-slo los resultados ramas en una operacin llamada copyup. Cuando se abre un archivo de slo lectura para la escritura, el archivo se copia en una rama ms alta prioridad. Si es necesario, unionfs crea automticamente una jerarqua directorio padre sea necesario. Con una simple modificacin, Helix unionfs utiliza como soporte de superposicin. Lo que significa que, el Helix CDROM se puede escribir sustituyendo / HELIX / / tmp / HELIX con la visin unificada:
Ejemplo - Unin Copiar-On-Write con Overlay

# Mount-t unionfs-o dirs = / home / cps / linux :/ usr / src / linux = ro \ > Ninguno / home / cps / linux Helix utiliza automticamente unionfs y crea la unin en el arranque y la inicializacin. Usted ser capaz de "escribir" para todos los directorios. Esto hace que la instalacin de software o la actualizacin de los archivos de configuracin muy simple.You tambin puede controlar el comportamiento de los unionfs mediante el uso de las siguientes opciones de inicio: unionfs - le permite realizar cambios en el funcionamiento del sistema de almacenamiento de los cambios en la memoria RAM unionro - le permite restaurar los cambios en el sistema que va desde la particin suministrado o sistema de archivos de bucle invertido. Esta particin o 104

Traducido por Sykrayo Espaa

sistema de archivos de bucle invertido se montar slo lectura por lo que no permitir ms cambios a la misma

105

Traducido por Sykrayo Espaa

unionrw - le permite hacer cambios en el sistema en funcionamiento almacenando los cambios en la particin de sistema de archivos de bucle invertido suministrado o Raid Esencial Aunque RAID pueden ser los dispositivos ms difciles de la imagen, especialmente el tipo de propiedad de Dell y Compaq, Helix ofrece una solucin bastante simple. Helix puede ver la mayora de los RAID de hardware como la tarjeta RAID inicializa el RAID antes Helix incluso botas. Helix tambin tiene muchos controladores RAID de software y hardware RAIDS. Dependiendo del dispositivo RAID actual, Helix no puede colocar el RAID en el directorio / mnt como otros dispositivos, pero eso no significa que la hlice no ve el RAID. Por ejemplo, para identificar un Compaq dispositivos RAID, hacer un "dmesg" y buscar "cpqarray." Si usted ve que usted debe ver los dispositivos que el Compaq RAID ve. El dispositivo debe mostrar las particiones como:
Ejemplo - Compaq particiones de matriz

ida/c0d0: p1 p2 p3 para particiones sern: / Dev/ida/c0d0p1 / Dev/ida/c0d0p2 / Dev/ida/c0d0p3

Helix ha construido en muchos controladores RAID en el kernel y muchos ms como mdulos cargables. Si por alguna razn Helix no ver el RAID, tendr que tratar de cargar los mdulos apropiados a travs de:
Ejemplo - Carga de un mdulo de kernel para un Adaptec RAID 2120

# Modprobe aacraid Esto cargar el mdulo aacraid en el ncleo en ejecucin para que pueda acceder al RAID de Adaptec.

Entendimiento dd dd tiene una historia interesante. Lo ms interesante es lo que dd significa, la mayora de la gente asume dd significa "dump dispositivo" o "dispositivo a dispositivo", o "volcado de datos." Algunos piensan que es sinnimo de "copiar y convertir", pero que pas a llamarse a dd, porque las letras "cc" se reserva para el compilador de C. La definicin ms interesante es que dd significa "la muerte y la destruccin" de lo que pasa si te equivocas las opciones, que es sin duda cierto. En dd realidad significa "definicin de datos", si se puede decir que para cualquier cosa en absoluto. La razn es que se deriv de la orden del mismo nombre IBM OS/360 JCL (Job Control Language). IBM System/360 JCL tena una dd "Dataset Definicin" especificacin elaborada 106

Traducido por Sykrayo Espaa

adecuado para copiarlo dispositivos de E / S de bloques orientados.

107

Traducido por Sykrayo Espaa

El comando dd se utiliza en informtica forense para realizar una copia de seguridad fsica de los medios de comunicacin de dispositivos de hardware. Lo que hace que el comando dd especial es que tiene marcas especiales que lo hacen adecuado para los dispositivos de bloque orientadas imgenes tales como cintas. dd es capaz de hacer frente a estos dispositivos de bloque para sequentially.In proceder, es muy importante entender la sintaxis bsica del comando dd:
DD - Comprensin Sintaxis

dd if = fuente de destino = Dnde: if = archivo de entrada, o el dispositivo que est copiando (disco duro, cintas, etc) fuente = Fuente de imagen de = archivo de salida, o una copia de la imagen destino = Donde desea colocar la copia Por ejemplo: si el dispositivo en ser fotografiado es / dev / hda, el siguiente podra producir una copia exacta con el nombre de 'ForensicCopy.img': dd if = / dev / hda of = / mnt/hdd1/ForensicCopy.img

Como se mencion anteriormente, dd es muy til cuando se copia y / o restauracin de los dispositivos de bloque orientadas tales como cintas. Algunas de las opciones disponibles a dd que lo hacen muy til son: bs = tamao de bloque ibs = entrada de tamao de bloque obs = salida de tamao de bloque cuenta = nmero de bloques para copiar skip = nmero de bloques para saltar al inicio de la entrada seek = nmero de bloques para saltar al inicio de la produccin conv = conversin Estas opciones son extremadamente tiles en muchos casos. Por ejemplo, si usted quiere simplemente adquirir el Master Boot Record (MBR) de un disco duro, que se necesita para obtener los primeros 512 bytes de la tabla de particiones de discos duros. Para hacer esto usted necesita para pasar algunas opciones de dd con slo tomar los primeros 512 bytes, de lo contrario dd adquirira todo el disco duro. As que para ello debe escribir en: 108

Traducido por Sykrayo Espaa

Ejemplo - Adquirir el MBR usando DD

dd if = / dev / hda of = / mnt/hdd1/MBR.img bs = 512 count = 1

109

Traducido por Sykrayo Espaa

Otro ejemplo del uso de dd es para usarlo para dividir una imagen grande en imgenes mucho ms pequeas. Se trata de un largo camino para lograr esto ya que se suele utilizar la utilidad dividida, pero esto slo sirve como un ejemplo del poder de dd. Para nuestro ejemplo, supongamos que tenemos un dispositivo de 4GB y queremos dividir la imagen en cuatro archivos de 1GB.
Ejemplo - Divisin de un archivo de imagen con DD

Usando dd con las banderas debajo crear cuatro imgenes cada 1 GB de tamao. dd if = / dev / hda count = 1000000 de = imagen1 dd if = / dev / hda count = 1000000 skip = 1000000 de imagen2 = dd if = / dev / hda count = 1000000 skip = 2.000.000 de = image3 dd if = / dev / hda count = 1000000 skip = 3.000.000 de = image4

Ahora, cada imagen es de 1 GB de tamao en lugar de la original de 4GB. Lo primero que se debe notar es que el primer comando tiene 1 GB (count = 1.000.000) y la copia, nombrando a la copia "imagen1". El segundo comando salta la primera 1GB (skip = 1.000.000) y luego copia el siguiente 1GB (count = 1000000), nombrando a esta imagen "imagen2" y as sucesivamente. Este es el propsito de la 'recuento' y Banderas 'Skip'. Adquisicin tradicional (imagen Dead) El proceso por el cual una imagen se adquiere cuando el disco duro se ha apagado tambin se conoce como imgenes muerta. Este es el mejor mtodo para obtener la imagen ms vlida a efectos legales. Tambin es el mtodo de aplicacin de la ley que utiliza como su prctica principal. Hay muchas maneras que usted puede realizar esta tarea en un entorno de laboratorio, pero uno de los mtodos ms sencillos de utilizar Helix. Helix es valioso en muchas maneras, pero sobre todo para la capacidad de los sistemas de imgenes de forma rpida que utilizan dispositivos RAID. Es mucho ms econmico que la imagen de un dispositivo RAID a nivel lgico que la imagen de forma individual cada unidad y tratar de reconstruir el dispositivo RAID ms adelante. Arranque el CD de hlice en el sistema para formar imgenes (sistema de pruebas). Puede que necesite arrancar en modo a prueba de fallos para ser operativa. Hay algunos casos con ataques propietarios como los Proliants Compaq utilizando el controlador SMART-2 / P Raid en el que la hlice no se inicia normalmente se acaba de colgar en la fase de deteccin automtica. Una vez Helix ha arrancado, usted tiene varias opciones que puede utilizar para obtener imgenes del sistema. Usted tendr que tomar una decisin de toda la imagen del disco (fsico) o las particiones individuales (lgica). En cualquier caso, la imagen contendr los archivos borrados, el espacio de holgura, y el espacio no asignado. Si elige una imagen lgica, lo nico que le falta es el MBR y el espacio de intercambio si se olvida de la imagen l. Actualmente autopsia no puede analizar una imagen fsica. Autopsia necesita imgenes lgicas, pero se puede 110

Traducido por Sykrayo Espaa

extraer los de la imagen fsica ms adelante para hacer una imagen fsica.

111

Traducido por Sykrayo Espaa

Imagen de un Listener Netcat / Cryptcat Netcat es la herramienta preferida (ms de Samba) para obtener imgenes a travs de una red debido a una sobrecarga menor. Netcat es una utilidad de red que lee y escribe datos a travs de conexiones de red utilizando el Protocolo TCP / IP. Cryptcat es el Netcat mayor estndar con encriptacin Twofish. Helix hace No utilice la clave secreta por defecto (metallica), la clave ha sido cambiada para Helix. Puede cambiar la clave mediante el uso de la opcin-k. Usted todava necesita para montar su campaa de recoleccin / cosecha, que es el mismo mtodo que el anterior. La siguiente paso sera la creacin de un oyente Netcat en el servidor forense dependiendo de lo que quieras para Si desea adquirir la totalidad del disco fsico: recoger.
Ejemplo - El uso de un servidor de Netcat / Cryptcat

Emita el mandato siguiente, el forense del servidor: nc-v-n-l-p 8888-O myimage.img En el sistema Helix, a continuacin, puede ejecutar dd: dd if = / dev / <dispositivo> | nc <IP> 8888

Imgenes a un servidor Samba Lo primero que hay que hacer despus de arrancar el sistema en ser fotografiado con Helix est configurado el servidor Samba en su sistema de adquisicin. Samba es muy fcil de implementar y que utiliza el ancho de banda adicional. Netcat es generalmente el mejor mtodo a utilizar. Samba est configurado por el archivo smb.conf situado en / etc / samba. Ver Apndice 1 para un ejemplo de un archivo smb.conf servidor Samba Forense de trabajo. Hay algunos trucos que usted debe tener en cuenta con un forense del servidor Samba. En primer lugar debe montar la unidad que desea utilizar como su coleccin / unidad de la cosecha y que la unidad debe ser modificable. La forma ms sencilla de lograr esto es mediante el comando mount siguiente:
Ejemplo - Montaje de un dispositivo para su uso como un recurso compartido Samba

mount-o rw, umask = 000 / dev / hd? / Mnt / imgenes donde: ?? = Dispositivo de linux que es su coleccin / cosecha de IE / dev/hdd1 / Mnt / images = punto de montaje de la coleccin / unidad de cosecha.

112

Traducido por Sykrayo Espaa

Inicie el servidor Samba despus de haber montado su coleccin / unidad cosecha simplemente escribiendo: service smb start orservice smb restart

113

Traducido por Sykrayo Espaa

Ahora est listo para utilizar el recurso compartido Samba como su destino de la imagen. El nico paso que queda es montar el recurso compartido Samba en el sistema Helix. Para montar el recurso compartido Samba (GRAB lo har por usted.)
Ejemplo - Montaje de una Samba o Windows participacin en Helix
mount-peso smbfs-o username = nombre de usuario, contrasea = contrasea / / <IP> / <share> / <mount_point>

donde: Smbfs-wt = montaje de lectura / grabacin y ajuste el tipo de sistema de archivos de samba fs -O username = nombre de usuario, password = password = conjunto de nombre de usuario y contrasea / / <IP> = Netbios bandera y la direccin IP del sistema Samba / Windows / <share> = Nombre del recurso compartido que desea montar / <mount_point> = Lugar donde desea montar la unidad de accin a *Tambin puede agregar dmask = 0777, fmask = 0,777 a las opciones de lectura / escritura Lo bueno de la creacin de un servidor Samba Forensics y la imagen de que es que se puede dirigir a todos ustedes ordena al sistema de archivos local, que es donde se encuentra el recurso compartido Samba / Windows. Parecer como si est escribiendo en otro directorio en el sistema local, cuando en realidad los datos se atravesaban en la red.
Ejemplo - Imagen de una parte de la samba

dcfldd if = <dispositivo> | tee> (sha1sum> / <mount dir> / (caso) / <filename.sha1) | Split-a 3-d-b 1436m - / <mount dir> / (caso) / <filename_img.> De acuerdo con Drew Fahey de e-fense.com, esta es la mejor lnea de comandos para utilizar para compartir una unidad ms de samba: mount-t ntfs-o umask = 000, noauto, user, uid = 500, gid = 100, ro, loop, noexec, noatime, show_sys_files = true / ntfs.img / mnt / hack / ntfs

114

Traducido por Sykrayo Espaa

Fundamentos de arranque
El primer paso que debe llevar a cabo para arrancar en Helix es asegurarse de que su BIOS est configurado para arrancar desde el CD-ROM antes de cualquier otro dispositivo. Si el BIOS no soportan el arranque desde un CD-ROM, debe dar lugar a arrancar desde un disquete (hora de actualizar su sistema). Todo lo que se requiere para arrancar Helix es colocar el CD Helix en la unidad de CDROM y reiniciar / encender el ordenador. Cuando el sistema pasa el POST, debera ver la pantalla:

Como se puede ver se le presenta un men de arranque grfico cortesa de Grub (Grand Unified Bootloader). Usted puede elegir la opcin que sea mejor para usted y su medio ambiente. El ajuste inicial predeterminado debera funcionar para la mayora de la gente, sin embargo hay ocasiones en las que no funcionan. Algunos ordenadores porttiles y otros equipos no les gusta algunas de las opciones estndar, como el uso de DMA en todos los dispositivos. Por lo tanto usted debe elegir la opcin de desactivar DMA. Algunas de las opciones ms populares que estn utilizando el modo a prueba de fallos, y el modo de consola. Vase el Apndice A para obtener una lista de todos los mtodos de arranque. Helix est usando el kernel 2.6.14. 115

Traducido por Sykrayo Espaa

Si bien hay muchas opciones predeterminadas para usted en la pantalla de inicio, a veces puede ser necesario aadir o eliminar comandos adicionales. Para hacer esto dentro de GRUB slo tienes que escribir o borrar los comandos que desee simplemente escribiendo. Las opciones de arranque va a cambiar a medida que escribe. A modo de ejemplo a continuacin, la opcin tranquila y imagen_de_arranque = hlice que se haya eliminado con slo presionar la tecla de retroceso.

F1 - Ayuda y Cheat Codes La tecla F1 se mostrar la pantalla de ayuda y proporcionar al usuario los "Cdigos de trucos", las opciones de inicio para ayudar a configurar la hlice para funcionar correctamente en el sistema de destino. Navegacin por el sistema de ayuda El gestor de arranque de ayuda en lnea sensible al contexto. Proporciona informacin sobre el elemento de men seleccionado o, si est editando las opciones de arranque, intenta buscar informacin acerca de la opcin en la que est situado el cursor. Teclas de navegacin Hasta Arrowhighlight enlace anterior Abajo Arrowhighlight siguiente enlace Flecha izquierda, Backspacereturn al tema anterior Flecha derecha, Intro, Espacio seguir enlace Pgina Upscroll hasta una pgina Pgina Downscroll bajar una pgina principal Ir a la pgina de inicio Endgo a la pgina final Esc deje ayudar Opciones de arranque (Trucos aka) Aboutshort introduccin a Helix. ACPI configuracin avanzada e interfaz de energa APM la administracin de energa de palanca Opciones ClockClock DebugSettings depurar su Helix Live CD de instalacin interactivo de expertos para expertos FailsafeBoot con (casi) sin HW-deteccin. 116

Traducido por Sykrayo Espaa

Framebuffer utiliza el framebuffer para grficos FromHDBoot de copiado anteriormente CD-Imagen

117

Traducido por Sykrayo Espaa

Archivos en bucle / homeMount. HostnameUse un nombre de host diferente en su lugar HRateUse especifica la frecuencia de actualizacin horizontal X. IDE DMA activar / desactivar DMA para las unidades IDETeclado Utilizar otro teclado (text / X) Languagespecify idioma / teclado. Principal Bsqueda de Helix mainmodules Souvenirs especificar el tamao de la memoria en Mbytes. Memtest Ejecute la utilidad memtest86. NOSKIP partes de HW-deteccin especifica. PCI algunos ajustes PIC. RunlevelRunlevel 1, base de carga Helix, TextMode slo Splashinfluence el comportamiento de la pantalla de bienvenida. TestCDCheck integridad de los datos de CD y md5sums ToHDCopy CD a la particin HD y ejecutar desde all Copiar CD toram de RAM y ejecutar desde all VGA Configuracin de framebuffer. VRate Usar frecuencia de refresco vertical, especificado para X. WMScreenUse especificado pantalla resolutionfor X. XmoduleUse especificada controlador del sistema X Window. Acerca de Helix es una distribucin Live CD con nfasis en la medicina forense y respuesta a incidentes. Arranca desde el CD, sin tocar el contenido de su disco duro. Helix se basa en Knoppix pero ha sido alterado de manera significativa para evitar cambios en los datos. Helix tiene un gran nmero de usuarios y se utiliza para la formacin forense. Para obtener ms informacin, por favor, eche un vistazo a http://www. E-Pantanose.com /hlice ACPI ACPI (Advanced Configuration and Power Interface) es un estndar que define el poder y las interfaces de gestin de configuracin entre un sistema operativo y el BIOS. Por defecto, acpi se activa cuando se detecta un BIOS que sea ms reciente que la del ao 2000. Hay varios parmetros comnmente utilizados para controlar el comportamiento de ACPI: pci = noacpido no utiliza ACPI para las interrupciones PCI acpi = oldbootonly las partes de ACPI que son relevantes para el arranque permanecen activados acpi = off offswitch ACPI completamente acpi = forceswitch en ACPI incluso si la BIOS es anterior al ao 2000 Especialmente en equipos nuevos, sustituye el sistema de apm edad. 118

Traducido por Sykrayo Espaa

APM APM es una de las dos estrategias de gestin de potencia utilizados en los equipos actuales. Se utiliza principalmente con ordenadores porttiles para funciones como la "suspensin a disco", pero tambin puede ser responsable de apagar el equipo despus de apagar. APM se basa en un correcto de la BIOS. Si el BIOS est roto, puede que APM tenga un uso limitado o incluso impedir que el equipo de trabajo. Por lo tanto, se puede apagar con el parmetro apm = off offswitch APM completamente Algunos equipos muy nuevos pueden tomar ms ventaja de la ACPI ms reciente. Reloj Use el reloj de hardware como el tiempo GMT gmt Depurar A veces, su CD en vivo Helix no funciona exactamente como se esperaba. Aqu estn algunas opciones en orden de utilidad: FailsafeTry utilizar valores predeterminados conservadores vga = normal No use el framebuffer, desactiva la imagen de arranque xmodule = vesa cargar el controlador X por defecto, no Autodetect debug = onDon't reinicie el CD en vivo despus de salir, abra un shell

Experto Valores expertos. Utilice experto para habilitar esta operandi. A prueba de fallos Arranque Helix con (casi) ningn HWdeteccin. Utilice a prueba de fallos para habilitar esta operandi. 119

Traducido por Sykrayo Espaa

Framebuffer

120

Traducido por Sykrayo Espaa

Algunos ajustes Framebuffer: fb1280x1024 utilizar framebuffer fijada para grficos fb1024x768 utilizado framebuffer fijo para fb800x600 grficos utiliza framebuffer fija para grficos fromhd Utilice el comando fromhd = / dev/hda1 (hda2, hda3, ...) para arrancar la imagen de CD previamente copiado a la particin. casa Mount Helix homedir. home = / loopback dev/sda1Mount archivo (helix.img) en / home / morph. home = scan de bsqueda automtica de la imagen homedir hlice para. nombre de host Modificar el nombre de host predeterminado, que es "Helix" = nombre de host myboxSet el nombre de host a "miordenador" HRate (Xhrefresh) Horizontal frecuencia de actualizacin - Se puede establecer la frecuencia de refresco horizontal con: xhrefresh = 80 (o hsync = 80) Uso 80 kHz frecuencia de refresco horizontal para X ide IDE es, a diferencia de SCSI, se utiliza en la mayora de las estaciones de trabajo de escritorio. Para evitar algunos problemas de hardware que se producen con los sistemas IDE, utilice el parmetro de kernel: ide = nodmaswitch de DMA para las unidades IDE teclado

121

Traducido por Sykrayo Espaa

Ajustes del teclado:

122

Traducido por Sykrayo Espaa

teclado = us xkeyboard = usUse diferente teclado (tet / X) lang Especifica un idioma para el teclado. Si est disponible, Helix establece la configuracin regional correspondiente a su idioma. Los ajustes posibles son: lang = ser lang = bg lang = ch lang = cn lang = cz lang = de lang = da lang = el lang = es principal Analizar en busca de mainmodules de esta particin main = PartitionName mem Especifique el tamao de la memoria en Mbytes. Algunos sistemas no reportan el tamao de la memoria propia del linux-kernel, lo que puede provocar el error "Panic: cannot mount root file system", y luego el sistema se bloquea. Las opciones de mem le permite especificar la cantidad adecuada de la memoria. mem = 128M La "M" debe ser capitalizado. memtest Compruebe la memoria RAM de su sistema, no arranca Helix memtest no Saltar partes especificadas de HW-deteccin. Las opciones disponibles son: noapicturns APIC off. 123 Belga Blgaro Swiss Chino Checo Alemn Dans Griego Espaol lang = fi lang = fr lang = gl lang = he lang = es lang = ja lang = lv lang = lt lang = nl Finlands Francs Gallego Hebreo Italiano Japons Letn Lituano Holands lang = es lang = ru lang = sf lang = sk lang = sl lang = tr lang = tw lang = uk lang = es Polaco Ruso Suiza francesa Eslovaco Esloveno Turco Taiwn Britnico EE.UU. (predetermina do)

Traducido por Sykrayo Espaa

noagp

Resulta AGP fuera.

124

Traducido por Sykrayo Espaa

noapm convierte APM off. noacpi convierte ACPI off. noaudio apaga AUDIO. noddcturns DDC off. nodma convierte DMA fuera. nofirewire convierte FIREWIRE off. noisapnpbiosturns ISAPNPBIOS off. nomceDisable Machine Check Exception nopcmcia convierte PCMCIA off. noscsi Resulta SCSI fuera. noswapturns SWAP off. nousb Resulta USB fuera. nonvidiaturns fuera del minimdulo controlador propietario NVIDIA (si estn disponibles) Para convertir casi todo de ver a prueba de fallos. PCI Algunas configuraciones PCI: pci = irqmask = 0x0e98Try esto, si PS / 2 ratn no funciona. pci = bios Solucin alternativa para los controladores PCI malas.

El nivel de ejecucin Arrancar slo la base de la hlice, no cargue los mdulos. til para depurar. 1 Salpicadura La pantalla de inicio es la imagen que se muestra durante el inicio del sistema. splash = 0 La pantalla inicial se desactiva. Esto puede ser til en monitores muy antiguos o si se produce algn error. splash = verbosa Todava se muestran Activa la pantalla, y los mensajes de arranque del kernel. splash = silencio Activa la pantalla, pero no hay mensajes. En lugar de una barra de progreso se dibuja. 125

Traducido por Sykrayo Espaa

testCD Para verificar el correcto funcionamiento de la unidad de CD Helix, puede probar el CD. Si el CD parece hacer mucho ruido, o genera muchos errores, de los programas parecen chocar constantemente, es posible que la imagen que descarg est corrupto, o el soporte de CD se bad.Add la opcin de lnea de comandos: testcd para comprobar la integridad de los datos de CD y sumas MD5 de los ficheros. toHD Utilice el comando tohd = / dev/hda1 (hda2, hda3, ...) copiar todo el CD a la particin especificada y arrancar desde all. toram Utilice el comando toram copiar todo el CD en la memoria RAM de un arranque a partir de ah. vga Ajuste Framebuffer VGA. vga = normal No framebuffer, pero X. vga = 785640x480 framebuffer. vga = Framebuffer de 800x600. 788 vga = 7911024x786 framebuffer. vga = 7941280x1024 framebuffer. VRate (Xvrefresh) Frecuencia de actualizacin vertical. Puede configurar la frecuencia de actualizacin vertical con: xvrefresh = 60 (o vsync = 60) Uso 60 Hz frecuencia de actualizacin vertical de X. 126

Traducido por Sykrayo Espaa

WM pantalla Establece la resolucin de la pantalla de X (para el gestor de ventanas). pantalla = uso 1280x1024to para una resolucin de pantalla de 1280x1024 = uso 1024x768to para una resolucin de 1024x768 Xmodule Es posible utilizar diferentes mdulos, tambin posiible combinarlos: xmodule = atiuses mdulo ati. xmodule = mdulo BDEV fbdevuses. xmodule = i810uses i810 mdulo de sonido (compatible con Intel). xmodule = mga mga mdulo utiliza. xmodule = mdulo de NVidia nvuses. xmodule = radeonuses mdulo Radeon. xmodule = savageuses mdulo salvaje. xmodule = s3 utiliza mdulo SiS. xmodule = svga utiliza mdulo SVGA. Opciones predeterminadas para los diferentes modos de inicio La lnea de comando Helix predeterminado para el modo de interfaz grfica de usuario es: ramdisk_size = 100000 init = / etc / init lang = unionfs apm = power-off nomce tranquila La lnea de comando Helix predeterminado para el modo consola es: ramdisk_size = 100000 init = / etc / init lang = us apm = power-off unionfs nomce tranquila 2 La lnea de comando Helix predeterminado para el modo experto: Imagen_de_arranque = experto ramdisk_size = 100000 init = / etc / init lang = us apm = power-off nomce nodma La lnea de comando Helix predeterminado para el modo a prueba de fallos es: ramdisk_size = 100000 init = / etc / init lang = es vga = normal nosound noapic noscsi nodma noapm nousb nopcmcia nofireware noagp nomce nodhcp xmodule = vesa La lnea de comando Helix predeterminado para la copia de la hlice a la RAM (1 GB Necesitas +) es: ramdisk_size = 100000 init = / etc / init lang = us apm = power-off toram La lnea de comando Helix defecto para el arranque con el hogar persistente es: 127

Traducido por Sykrayo Espaa

ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off home = scan

128

Traducido por Sykrayo Espaa

La lnea de comando Helix predeterminado para el modo TestCD es: ramdisk_size = 100000 init = / etc / init lang = us nomce testcd tranquila La lnea de comando Helix predeterminado para el modo 1280x1024 Mode Framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 794 xmodule = fbdev nomce tranquila La lnea de comando Helix predeterminado para el modo 1024x768 modo framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 791 xmodule = fbdev nomce tranquila La lnea de comando Helix predeterminado para el modo 800x600 Modo Framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 788 xmodule = fbdev nomce tranquila La lnea por defecto para el comando Helix ACPI on - DAM on - FB modo es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = normal, tranquila nomce F2 - Lenguaje y Seleccin disposicin del teclado La tecla F2 cambiar el idioma y distribucin de teclado utiliza el gestor de arranque. Algunos de los idiomas actualmente disponibles son: Ingls, espaol, francs, italiano, alemn, japons y ruso. F3 - Seleccin del modo de Splash Permite cambiar el modo de pantalla de inicio. Puede utilizar la opcin del kernel splash directamente, si lo prefiere. Nativo apaga la pantalla splash (igual splash = 0) Verboseshows buena foto y mensajes del kernel y arranque Silentsuppresses todos los mensajes del kernel y arranque y muestra una barra de progreso F4 - Resolucin de la pantalla Modo de texto, 640x480, 800x600, 1024x768, 1280x1024, 1600x1200 Una vez que seleccione las opciones de instalacin y pulse la tecla ENTER, aparecer la pantalla de inicio Helix. Esta pantalla mostrar que arranque el progreso.

129

Traducido por Sykrayo Espaa

Usted ser capaz de ver los dispositivos que encuentra Helix, as como le proporciona informacin del ncleo, lo que podra ser importante si hay problemas en la carga de la hlice.

130

Traducido por Sykrayo Espaa

Interfaz de usuario Helix


Una vez Helix termina el proceso de arranque, X Windows se iniciar automticamente y le mostrar el escritorio de Helix. Helix utiliza el Xfce (http://www.xfce.org/)entorno de escritorio, ya que es extremadamente ligero y muy verstil. Todos los otros entornos de escritorio antiguos, como KDE, Fluxbox, larswm, etc han sido retirados de la hlice por completo. Mucho de lo que se necesita de Helix se encuentra disponible a travs del botn Inicio de la hlice y la barra de tareas en la parte inferior de la pantalla.

Helix "Start" botn

Inicie el administrador de archivos xffm

Inicie el Firefox Navegador

Colored registrado icono terminales. Para verlas todas haga clic en la marca de verificacin a la derecha.

Escritori o switcher

Iniciar TextEditor para tomar notas

Arrastre el archivo a la impresora 131

Traducido por Sykrayo Espaa

Grfico de utilizacin de la CPU

Grfico de utilizacin de red

Grfico de utilizacin de la memoria

Monitores de rendimiento del disco

Control de volume n

Apague

El entorno de escritorio Helix est basada en Xfce (http://www.xfce.org /). El nombre "Xfce" originalmente significaba "XForms entorno comn", pero desde entonces, Xfce se volvi a escribir dos veces y no utiliza XForms conjunto de herramientas ms. El nombre sobrevivi, pero ya no se capitaliza como "XFce", pero "Xfce". Postura actual de los desarrolladores es que el acrnimo no representa nada cualquier ms (Wikipedia, 2006c). A continuacin se toma de http://www.xfce.org / DOCUMENTACINion/docs-4.2/xfce4-use.html El escritorio El entorno de escritorio Xfce 4 no es una entidad nica que proporciona toda funtionality, sino que se trata de cumplir con la antigua tradicin UNIX de pequeas herramientas que hacen un trabajo y hacerlo mejor. Barra de tareas En la parte superior de la pantalla podrs ver la barra de tareas. Muestra las aplicaciones que se ejecutan en el espacio de trabajo actual. Puede enfocar la aplicacin haciendo clic en el botn en la barra de tareas. Al hacer clic de nuevo, se oculta la aplicacin. Si se utiliza el botn derecho del ratn, aparecer un men, lo que le permite realizar varias acciones en la ventana de la aplicacin. La barra de tareas puede contener opcionalmente un localizador grfica que muestra una vista en miniatura de todas las reas de trabajo y un rea de notificacin o bandeja del sistema. Panel En la parte inferior de la pantalla es el panel Xfce4. Le permite ejecutar aplicaciones y tambin contiene un localizador grfica, un reloj y un corrector electrnico. Algunos elementos tienen un men del panel asociado que da acceso a ms aplicaciones. Mens del panel se abren pulsando los botones de flecha al lado del elemento del panel. Cambiar el contenido del panel y las propiedades de los elementos se realiza con el botn 132

Traducido por Sykrayo Espaa

derecho del ratn. Tanto los elementos del panel y el movimiento del panel de control tienen un men del botn derecho del ratn desde donde se puede cambiar la configuracin del panel. Desktop Manager El gestor de escritorio ofrece la imagen de fondo de escritorio y dos mens al hacer clic sobre el fondo del escritorio.

133

Traducido por Sykrayo Espaa

El botn derecho del ratn se abre un men que le permite iniciar aplicaciones. Mira el manual para saber cmo cambiar el contenido del men. El botn central del ratn (o Shift + clic izquierdo) se abre una lista de todas las aplicaciones que se estn ejecutando actualmente. Se puede activar una aplicacin haciendo clic en su entrada en el men. Window Manager El gestor de ventanas es responsable de la colocacin de las ventanas en la pantalla y proporciona los bordes de las ventanas y decoraciones. Esto le permite mover ventanas alrededor arrastrando la barra de ttulo y proporciona botones de la barra de ttulo, por ejemplo, para cerrar, minimizar o maximizar una ventana. Mira el manual para una explicacin completa del gestor de ventanas. Settings Manager El administrador de configuracin se ejecuta en segundo plano y se asegura de que todas las aplicaciones de Xfce 4 actualizan sus valores cuando el usuario cambia algo en el cuadro de dilogo Administrador de configuracin (ver la siguiente seccin) y se encarga de leer la configuracin del disco durante el arranque. Mira el Administrador de configuracin y ajustes Plugins manuales para una explicacin completa del administrador de configuracin. Tareas comunes En esta seccin se explica cmo realizar varias tareas comunes para obtener rpidamente de empezar a trabajar con Xfce 4. Porque eso es lo Xfce 4 est diseado para, para que pueda realizar su trabajo. Ejecucin de programas Xfce 4 Panel El panel est diseado para permitir el acceso rpido a las aplicaciones ms utilizadas por ponerlos en el panel principal. Aplicaciones utilizadas con menos frecuencia se pueden poner en un men del panel. Men Escritorio Otro mtodo para aplicaciones de arranque es desde el men de escritorio del ratn. Lea la Manual de Desktop Manager para obtener informacin sobre cmo cambiar el contenido del men. Ejecutar dilogo Si conoce el nombre de un programa y no es en el panel o en el men del escritorio se puede utilizar el cuadro de dilogo Ejecutar. Para abrir el tipo de dilogo Alt + F2 o seleccione el programa Run ... opcin en el men del escritorio. El dilogo recordar los 10 ltimos comandos que se han ejecutado con xito. Gestin de ventanas y reas de trabajo Operaciones de la ventana Bsico 134

Traducido por Sykrayo Espaa

Puede mover las ventanas por la pantalla arrastrando su barra de ttulo. Una ventana puede ser cerrada, oculta, maximiza, a la sombra y se pegajosa - esto significa que se mostrar en todas las reas de trabajo - por el uso de los botones de la barra de ttulo. Al hacer clic derecho sobre la barra de ttulo se abre un men que permite acceder a todas las operaciones de la ventana.

135

Traducido por Sykrayo Espaa

Sombra de una ventana, lo que significa que el colapso de mostrar slo la barra de ttulo, tambin se puede lograr mediante el uso de la rueda del ratn sobre la barra de ttulo. La rueda del ratn hacia arriba es la sombra, la rueda del ratn hacia abajo es Desenrollar. Si quieres ventanas maximizadas de no cubrir toda la pantalla se puede establecer mrgenes de rea de trabajo en el cuadro de dilogo Administrador de configuracin (vase ms adelante). Gestin de aplicaciones Para saber qu aplicaciones se estn ejecutando actualmente se puede ver en la barra de tareas. Al hacer clic en un botn en la barra de tareas se centrar la aplicacin asociada. Pulsando de nuevo ocultarlo. Al hacer clic con el botn central del ratn en el fondo del escritorio se muestra una lista de las ventanas, ordenados por rea de trabajo. Puede activar la aplicacin o cambiar los espacios de trabajo seleccionando la opcin de men correspondiente. La aplicacin xfce4-caja de iconos tambin se puede utilizar para realizar un seguimiento de las aplicaciones en ejecucin. reas de trabajo Puede cambiar los espacios de trabajo, haga clic en ellos en el localizador grfica, ya sea en la barra o en el panel. Al presionar Ctrl + Alt + Flecha izquierda o Ctrl + Alt + Flecha derecha se avanza por las reas de trabajo. Usando la rueda del ratn sobre el localizador o el fondo del escritorio tiene el mismo efecto. Para aadir o eliminar espacios de trabajo que puede utilizar el men de escritorio botn central o el cuadro de dilogo de configuracin (ver ms abajo). Usando el cuadro de dilogo Administrador de configuracin El cuadro de dilogo Administrador de configuracin permite el acceso a las preferencias globales de muchas aplicaciones Xfce 4. Se puede ejecutar pulsando su laucher en el panel, en el men de escritorio del ratn o mediante la ejecucin de xfce-setting-espectculo. Cuadros de dilogo para cambiar muchos aspectos del entorno de escritorio Xfce 4 estn disponibles. Consulte los manuales correspondientes de los 4 componentes de Xfce para ms informacin. Puede ser interesante echar un vistazo rpido a todos los cuadros de dilogo para averiguar lo que estn disponibles que permiten crear el entorno de trabajo mejor opciones. El Administrador de archivos A continuacin se toma de http://www.xfce.org / documentoation/docs-4.2/xffm.html Este administrador de archivos es treeview diseado. Cada rama principal del rbol es un plugin independiente que no necesita ser cargado, si no se solicita. Con este gestor de archivos que puede lanzar programas, examinar el contenido de los directorios, gestionar el contenido de los contenedores de basura, examine la red SMB (Wind * ws), mantenga favoritos, ver las diferencias entre archivos, buscar archivos, archivos de cifrar contraseas y mover, copiar, 136

Traducido por Sykrayo Espaa

cambiar el nombre, duplicar, eliminar archivos o enlaces simblicos. Tambin puede crear, examinar o extraer directorios y de los archivos tar comprimidos, sistemas de archivos ISO y grabar imgenes de CD-ROM. Montaje y desmontar compartidos SMB remotos, sistemas de archivos locales o medios extrables tambin est disponible con un doble clic.

137

Traducido por Sykrayo Espaa

Adems de lo anterior, el administrador de archivos de Xfce rpido tiene un sofisticado mecanismo DBH basado en llevar la cuenta de los programas utilizados, sitios visitados, y un sistema de implementacin del tabulador que le muestra las opciones en lugar de tener que adivinar lo que puede ser. Puede cambiar el nombre de archivos, cambiar la informacin de usuario o grupo, o la proteccin de archivos mediante una simple seleccionar y editar el campo. Puede utilizar arrastrar y soltar o copiar y pegar para mover o copiar archivos con otros filemanagers o para descargar y subir archivos de los servidores SMB remotos. Introduccin Por lo general, iniciar el administrador de archivos seleccionando la entrada correspondiente en el panel de Xfce, el men de Xfce-escritorio o escribiendo en un directorio (ruta absoluta o relativa al directorio home) en el dilogo de solicitud xfrun4. Tambin puede escribir xffm en una ventana de terminal o xfrun4 sistema. Al iniciar el administrador de archivos por primera vez se quiere una ventana en su pantalla, que de esta manera:

Archivo ramas raz gestor 138

Traducido por Sykrayo Espaa

Actualmente existen las siguientes ramas del nivel raz. Usted puede cualquier combinacin de ellos, ya sea en cristal de la ventana.

139

Traducido por Sykrayo Espaa

Xftree - Los archivos locales La rama de archivos local es el tradicional rbol de la que se muestran los archivos en el equipo local. El rbol se puede abrir con cualquier nivel de anidacin, y el nivel superior puede ser trasladable a cualquier directorio en el equipo local. Para invocar el gestor de archivos con slo la rama local de archivos activada, utilice xftree4 como la lnea de comandos. Xfsamba - SMB Network La rama de la red SMB es la manera de navegar a travs de una red SMB utilizando los programas de samba privado. Para invocar el gestor de archivos con slo el SMB red de sucursales activo, utilice xfsamba4 como la lnea de comandos. Xfbook - Marcadores La rama de marcadores es una manera de crear directorios virtuales con los archivos locales y archivos remotos de la red SMB o acciones. Mltiples configuraciones de marcadores se pueden utilizar y conmutar usando ctrl-B. Para invocar el gestor de archivos con slo el marcador rama activa, utilice xfbook4 como la lnea de comandos. Xfglob - Buscar resultados El hallazgo rama resultados es donde se muestran los resultados de las consultas de encontrar. Operaciones filemanager completas estn habilitados en los resultados. Para invocar el gestor de archivos con slo el encontrar rama activa, utilice xfglob4 como la lnea de comandos. Xffrequent - Archivos frecuentes La rama archivos frecuente contiene una estructura de rbol con los archivos o directorios que se accede con frecuencia a travs del administrador de archivos. El umbral de frecuencia predeterminado se establece en 13 golpes, pero se puede cambiar por medio del men principal. Para invocar el gestor de archivos con slo la rama reciente activo, utilice xfapps4 como la lnea de comandos. Xfrecent - Ultimos archivos La reciente rama archivos contiene una estructura de rbol con los archivos o directorios que se ha accedido recientemente a travs del administrador de archivos. El reciente umbral predeterminado se establece en 3 das, pero se puede cambiar por medio del men principal. Para invocar el gestor de archivos con slo la rama reciente activo, utilice xfapps4 como la lnea de comandos. Xffstab - Fstab puntos de montaje La rama fstab es una forma alternativa de ver el sistema de archivos, donde los dispositivos fsicos son enumerados por el punto de montaje. Esto permite un fcil montaje / desmontar las operaciones con el teclado DERECHA y Cursor izquierdo, doble clic del mouse, o seleccin de men. Para invocar el gestor de archivos con slo el fstab rama activa, utilice xffstab4 como la lnea de comandos. Xftrash -Trashcan La rama papelera es una coleccin de contenedores de basura. Estos pueden incluir papeleras xffm o GNOME y KDE contenedores de basura. Esta rama es una forma de gestin de la basura que se genera en las diferentes partes del sistema de ficheros. Usted puede recoger los contenedores de basura que pertenecen a otros usuarios, entre otras funciones disponibles. Para invocar el gestor de archivos con slo el poder de basura activo, utilice xftrash4 como la lnea de comandos. 140

Traducido por Sykrayo Espaa

Los mens La clave para trabajar con el administrador de archivos es la comprensin de los mens. Hay exactamente dos mens para hacer frente a: la principal y la ventana emergente. Dado que este es un administrador de archivos amigable teclado, para ver qu atajos de teclado estn disponibles, usted debe examinar los mens. Todos los botones de la barra lateral barra de herramientas y tambin tienen un elemento de men correspondiente. El men principal En la figura es el men principal. Esto puede ser llamado por la derecha o hacia la izquierda haciendo clic en la barra del men principal, o la tecla de funcin F10 presionando. El men principal consta de cuatro submens:

Instrumentos Abierto Ir Opciones

El men Go puede ser atenuada si no hay ambigedad en cuanto a qu cristal de la ventana las funciones deben aplicar. Si tienes algo seleccionado, o slo tienen un cristal de la ventana visible, no hay ambigedad. El men Herramientas El men de herramientas se pueden mostrar en el men principal o mediante el uso de F3, y tiene las siguientes entradas:

Terminal: Abre un terminal en el directorio seleccionado. El terminal que se abre se determina por orden de preferencia: TERMCMD ajustarse de xfce-setting-espectculo
xfce4-terminal xterm

Encontrar: Abre una ventana de dilogo de bsqueda. Los resultados se muestran en una rama resultados Buscar del gestor de archivos. Diferencias: Abre una ventana de diferencia entre dos archivos seleccionados. Si no se seleccionan archivos, puede arrastrar y soltar en la tarde. Configuracin de la impresora: se abre un cuadro de dilogo para configurar las impresoras. Lista de cartn: Enva el contenido de la mesa de trabajo actual a la ventana de diagnstico.

141

Traducido por Sykrayo Espaa

Claro cartn: Borra el contenido de la mesa de trabajo actual (el sistema de archivos es al margen de esta operacin).

142

Traducido por Sykrayo Espaa

El Open Menu La carta abierta se activa desde el men principal o mediante el uso de F4, y tiene las siguientes entradas:

Ejecutar: Oferta de un programa que se ejecute. xftree4: Oferta de una ruta de directorio y se abre una nueva ventana filemanager no. Equivalente a ejecutar xftree4 DIRECTORY_PATH desde una lnea de comandos. Ruta absoluta o relativa (a homedir) es aceptable. xfsamba4: Equivalente a ejecutar xfsamba4 desde una lnea de comandos. xffstab: Equivalente a ejecutar xffstab4 desde una lnea de comandos. xfbook: Oferta de un archivo de marcadores y abre el administrador de archivos all. Equivalente para ejecutar xfbook4 bookname desde una lnea de comandos. xftrash4: Equivalente a ejecutar xftrash4 desde una lnea de comandos. xfrecent: Equivalente a ejecutar xfrecent4 desde una lnea de comandos. xffrequent: Equivalente a ejecutar xffrequent4 desde una lnea de comandos.

El men go El men go se puede mostrar en el men principal o mediante el uso de F5, tiene las siguientes entradas:

Ir a: Se abre una consulta donde se puede especificar dnde desea ir. Caminos precedidas por una doble barra (/ /) se interpretan como servidores SMB remotos. Inicio: Vaya a su directorio personal, o para XFFM_HOME si se ha definido con el xfce-mcsmanager. Volver: Va a la ubicacin anterior. Adelante: Va hacia adelante (despus de un go-back, por supuesto). Up: Va en la estructura de archivos del directorio.

143

Traducido por Sykrayo Espaa

El men opciones

de

La Opciones men se puede visualizar desde el men principal o mediante F6, tiene las siguientes entradas:

Preferencias: abre el submen de preferencias. Temas de edicin: corre el xfmime-edit programa que permite personalizar los ajustes de los iconos. Establecer umbral de frecuencia: le permite cambiar el nivel de la frecuencia de su valor por defecto de 13 hits. Ajuste del umbral reciente: le permite cambiar el umbral reciente de su valor predeterminado de 3 das. Ampliar iconos: agranda iconos. Reducir iconos: iconos encoge. xfce-setting-espectculo: Inicia el xfce-setting-espectculo programa que le permite mover los valores del gestor mcs.

El men de preferencias

144

Traducido por Sykrayo Espaa

145

Traducido por Sykrayo Espaa

El submen de preferencias se activa desde el men principal o mediante el uso de F7, y tiene las siguientes casillas: Desplazamiento automtico: Esto hace que la vista de rbol desplazarse automticamente cuando se abre una carpeta. Encabezados de texto: Esta opcin ya no est disponible. Copia de arrastre: Si marca esta opcin, la accin de arrastrar y soltar defecto ser la copia, si no se controla, el valor por defecto es mover. Mostrar oculta: Controla si se muestran los archivos ocultos o no. Imagen auto-previews: Controla si las vistas previas de los archivos grficos se generan automticamente en las carpetas de apertura. Supervisar permitido: Si los cambios en el sistema de archivos deben ser controlados para realizar actualizaciones automticas. Defecto GTK seleccin ratn: Si desea utilizar la seleccin treeview GTK defecto, o la seleccin del ratn costumbre introducida en 4.0.x. Cambiar el tamao de fuente que busca iconos: Si los tamaos de fuente deben ser escalados hacia arriba o abajo cuando el tamao del icono cambia. Desactivar coleccin autotrash: De forma predeterminada, la basura se recoge de forma automtica en la rama basura. Si prefiere recoger la basura manualmente, desactivar esta opcin. Desactivar los colores del texto: Utilice llano blanco y negro para las listas en vez de colores cobardes. Desactivar la edicin de la celda: , El cambio de nombre de usuario / grupo No permitir cambios o modificaciones del modo de edicin directa en lnea. Papeleras invisibles: Si no te gusta para ver si existe o no la basura de directorio cuando se abre la carpeta, consulte este artculo. rcp antes scp: Cuando un xffm recibe una cada desde otra ventana xffm en la misma pantalla, pero se ejecuta en un host diferente, si los archivos se copiarn por scp? En configuraciones de clster de seguros esto debera ser rcp, pero por lo dems scp. Detallado diagnstico: Si marca esta opcin, se mejorar la cantidad de procesamiento de la informacin que aparece en la ventana de diagnstico.

Los mens emergentes El men emergente se configura de forma dinmica, en funcin de lo que est seleccionado cuando aparezca la ventana emergente. En los prrafos siguientes vamos a examinar los escenarios ms comunes. El men emergente se muestra al hacer clic derecho con el ratn o pulsando F9

El men emergente libro Aparte de las operaciones normales, este men emergente tambin puede abrir un libro llamado, abra el libro por defecto, la lista de todos los libros mencionados, cree un nuevo libro, y guardar el libro actual con un nuevo nombre.

11

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

El men emergente frecuentes Aparte de las operaciones normales, este men emergente puede restablecer el umbral de frecuencia del valor por defecto de 13 hits.

El men emergente reciente Aparte de las operaciones normales, este men emergente puede restablecer el umbral reciente del valor por defecto de 3 das.

120

Traducido por Sykrayo Espaa

El men emergente fstab (montaje / desmontaje)

Aparte de la normal operaciones, desde este men emergente que cualquiera puede montar o desmontar volmenes que figuran en la informacin del archivo fstab (que puede ser compartidos SMB, NFS volmenes o sistemas de archivos locales).

El men emergente de basura

Aparte de las operaciones normales, este men emergente puede eliminar de manera permanente toda la basura recogida en el sistema de archivos. Tambin puede borrar el contenido de la basura, en cuyo caso tendra que recoger la basura en el directorio emergente para que parezca nuevo.

121

Traducido por Sykrayo Espaa

El men emergente del directorio

Aparte de las operaciones normales, este men emergente puede crear archivos tar comprimidos con gzip o bzip. Tambin puede crear archivos ISO de sistemas de archivos para grabar directamente los volmenes de CD-RW.

122

Traducido por Sykrayo Espaa

El men emergente de directorio (desmontar)

En el caso en que un directorio tambin est en la lista en el archivo fstab como punto de montaje, se puede montar / desmontar volmenes de esta emergente.

El men emergente del archivo El popup archivo tiene todas las operaciones que normalmente se realizan en los ficheros. Dependiendo del tipo MIME del archivo seleccionado, puede obtener varias opciones con el que abrir el archivo. Estas opciones se construyen a partir de las aplicaciones de tipo MIME de todo el sistema, las aplicaciones de usuario (tipo MIME construidas haciendo clic recordar cuando se usa al aire libre con la funcin), y de la ltima aplicacin se utiliza para abrir el archivo (si recuerdo fue marcada o no). As, en la figura anterior se puede observar que el archivo TeX seleccionado tiene varias opciones con el que abrir con. Operaciones con archivos adicionales se incluyen en el sub-men archivo, se describen a continuacin y que se pueda acceder rpidamente con F8. 123

Traducido por Sykrayo Espaa

El submen emergente archivo El submen de archivo que se puede acceder rpidamente con F8, contiene las funciones bsicas que normalmente se realizan en el sistema de archivos: Propiedades: Modificar informacin del usuario / grupo o el modo del archivo (tambin se puede hacer por la edicin en lnea de los campos). Nuevo archivo: Crea un nuevo archivo en el directorio seleccionado. Nuevo directorio: Crea un nuevo directorio dentro del directorio seleccionado. Imprimir: Imprime el archivo seleccionado mediante

Duplicar: Crea un duplicado del archivo o directorio seleccionado. Symlink: Crea un enlace simblico del directorio o archivo seleccionado (tambin disponible arrastrando ctrl-shift o pastosa que une la mesa de trabajo). Touch: Toque el archivo o directorio. Cambiar el nombre de: Cambie el nombre del archivo o directorio (tambin disponible a travs de la edicin en lnea. Scramble: Contrasea codifica el archivo. Si el administrador de archivos est compilado con la opcin - enable-scrambledir, entonces este artculo no ser de color gris para los directorios y el directorio completo puede recursivamente revueltos con la misma contrasea. Descifra: Decodifica el archivo. La extensin de tipo MIME para los archivos revueltos es. Cyt, por lo que esta opcin aparece atenuada si el archivo seleccionado no es del tipo de revueltos. Si scambling recursiva de directorios est habilitada en tiempo de compilacin, esta opcin tambin estar activa para los directorios.

xfprint4

El men emergente NetFile La ventana emergente de archivos de red SMB es similar a la de los archivos locales, pero no contiene el submen archivo.

124

Traducido por Sykrayo Espaa

Las columnas del men emergente Si hace clic derecho sobre los ttulos de las columnas, se obtiene la columnas emergente. Con este emergente puede alternar los columnas que desean ser visible o no. Por configuracin predeterminada, el panel de la derecha tiene todas las columnas opcionales visible, y la columna de la izquierda no tiene ninguna de las columnas opcionales visibles.

El botn inteligente ttulo de icono

Este es el elemento emergente para el ttulo de la columna de iconos. Al mantener presionado a tomar una ventana emergente de los botones aparecern. Suelte en cualquier botn determina que uno obtiene el clic. Estos botones se utilizan para cambiar las ramas principales dentro y fuera. Si quieres ver la rama fstab, haga clic en el smbolo fstab. Si desea ocultar la seccin local, haga clic en el smbolo de la rama local.

El submen emergente clase El submen clase le permite cambiar el mtodo de clasificacin de conjunto de la vista de rbol. El mtodo sin clasificar implica una clasificacin por su nombre y subsorted por tipo de archivo. Usted puede Tambin cambiar el mtodo de clasificacin haciendo clic en los ttulos de las columnas. El propsito de esta carta es para hacer un mtodo para ordenar alternar disponibles desde el teclado.

125

Traducido por Sykrayo Espaa

Las barras de herramientas La barra de herramientas estndar

La barra de herramientas estndar es un acceso directo a muchas de las funciones del men. Al hacer clic derecho sobre cualquier botn con una flecha hacia abajo, puede aparecer o dissappear la barra lateral correspondiente. Tambin puede abrir una ventana emergente con los elementos de la barra lateral pulsando con el botn y no soltarlo. A continuacin, suelte el elemento emergente que desea hacer clic. El ltimo elemento click del grupo se convierte en el primer botn visible en la barra de herramientas. La barra de herramientas del men La barra de men se compone de los siguientes elementos: La caja del filtro

Esto le permite filtrar el contenido de un directorio antes de ser introducido en la vista de rbol. Las expresiones regulares tales como la que se muestra en la figura tambin son aceptables (adems de filtros clsicos como *. C). Despus de cambiar la cadena de filtro, actualice la vista. Si la vista de rbol se oculta, nada se filtra. Los botones Mostrar / Ocultar

En la barra de men, tiene botones para mostrar slo la vista de rbol a la derecha (tambin con F12), el rbol de la izquierda (tambin con F11), se muestran dos vistas de rbol (ya sea F11 o F12 dos veces), y ocultar y mostrar la caja del filtro y el estndar barra de herramientas. (Si ha compilado con - enable-panel, tendr una segunda barra de herramientas reflectiong configuracin xfce4-panel completo con la piel y los botones de mostrar, reemplazando la rama raz aplicaciones de xffm-4.0). Las barras laterales 126

Traducido por Sykrayo Espaa

Hay varias barras laterales disponibles en la configuracin predeterminada.

127

Traducido por Sykrayo Espaa

La barra lateral submen archivo Consulte la seccin "submen File" para obtener una explicacin de las opciones disponibles. Exactamente un elemento debe ser seleccionado de la vista de rbol de esta barra lateral para estar activo.

elemento imprescindible ser seleccionado de la vista de rbol para que ste sea activo. Consulte "Archivo

El go sidebar Consulte "Men ir" para obtener una explicacin de las opciones disponibles.

La barra lateral multiple_select Puedes crear un nuevo archivo o directorio o abra el dilogo de propiedades de aqu. Al menos un

128

Traducido por Sykrayo Espaa

La barra lateral abierta Consulte "Men abierta" para una explicacin de las opciones disponibles.

explicacin de las opciones disponibles.

La barra lateral de pasta Puede pegar el contenido del portapapeles, o pasta a vincular los contenidos de la mesa de trabajo. La funcin de la gomalink crea enlaces simblicos de

La barra de opciones

Consulte "men de opciones" para obtener una submen "para obtener una explicacin de los archivos availablethe referencia en el rea de trabajo. opciones.

129

Traducido por Sykrayo Espaa

Las herramientas de la barra lateral Consulte "men de herramientas" para obtener una explicacin de las opciones disponibles.

El xfce-mcs-manager Ciertas funciones se desempean mejor si est configurado con el plugin de gestor de mcs. Al borrar un archivo, el cuadro de dilogo de confirmacin ser por defecto a uno de tres botones: cancel, papelera o desvincular. Elige lo que prefieras aqu. Si usted no quiere ninguna salida en absoluto a la ventana de diagnstico, seleccione la opcin Desactivar diagnstico Si desea mantener la salida de xterms o xfce4-terminales abiertos por el administrador de archivos, seleccione la opcin xterms Hold Si quieres sacar el mximo partido de las funciones de montaje / desmontaje proporcionados por el administrador de archivos, es mejor instalar sudo y lo han configurado correctamente para permitir el montaje / desmontaje. Si sudo requiere de una contrasea, el administrador de archivos le pedir consecuencia. Compruebe el montaje con la opcin sudo para esto. 130

Traducido por Sykrayo Espaa

La ltima parte del plugin mcs permite establecer variables de entorno en la marcha:

TERMCMD: El comando utilizado para la apertura de los terminales.

131

Traducido por Sykrayo Espaa

LANG: La variable de entorno LANG transmitida por el administrador de archivos para las aplicaciones que se abre. Usted slo tendr que cambiar esta opcin si desea que esta variable sea diferente del que se utiliza para el administrador de archivos. XFFM_HOME: El camino que el administrador de archivos va a cuando se selecciona la funcin de casa de Go. SMB_USER: El% username password por defecto utilizado para las consultas de red SMB. SMB_CODESET: Conjunto de cdigos utilizada para interpretar los caracteres no ASCII en los servidores SMB remotos. XFFM_STATUS_LINE_LENGTH: Define la longitud mxima de las cadenas que aparecen en la barra de estado. Esta opcin se proporciona para evitar la anchura de la ventana del gestor de archivos para crecer ms all de la eleccin del usuario. XFFM_MAX_PREVIEW_SIZE: Esta variable de entorno define el tamao mximo de previsualizacin de la imagen (en conjunto predeterminado de 256 KB). Tenga en cuenta que algunos avances no se pueden generar si son demasiado delgado o demasiado ancho. Para verlos, instale imagen magia y el uso doble clic para ver estos estos archivos.

La ventana de diagnstico Esta es la ventana donde se muestra salida de los comandos realizadas por el gestor de ficheros. Si desea aumentar el nivel de detalle, use la preferencia detallado, y si que desee desactivar la salida por completo, utilice el plugin mcs.

132

Traducido por Sykrayo Espaa

Herramientas Helix
Al hacer clic en el botn Inicio de Helix revela una serie de comandos y submens. Este men tambin est disponible haciendo clic derecho en cualquier parte del escritorio. El men principal Ejecutar programa ... abre una herramienta de lnea de comandos simple para permitir a los usuarios iniciar rpidamente programas. Terminal abre una ventana de terminal, sin embargo, los comandos en esta ventana no se registran. Para opciones de registro y reproduccin, utilice el icono de terminal en la barra de tareas. Administrador de Montaje se abrir una ventana xffstab y permitir al usuario gestionar los dispositivos que han sido montados. Dispositivos Rescan se puede utilizar para acceder a los dispositivos que no han sido detectados automticamente. Ayuda, Acerca de y Salir realizar las acciones que normalmente se espera.

El men Forense En el submen Forensics, los siguientes comandos estn disponibles: Adepto fue desarrollado para llevar a cabo la adquisicin de imgenes y generar una cadena de custodia. Aire es un front-end GUI de dd. Lino es una herramienta de adquisicin de imgenes de software guidence, que puede ser usado para capturar sospechosos de medios y crear imgenes que pueden ser procesados por el EnCase Forensic Toolkit. Perdiguero es una imagen (imagen / video) capturando utilidad para los "golpes y conversaciones", "ojeadas rpidas" y las bsquedas generales. Puede escanear un dispositivo montado y localizar todas las imgenes y archivos de pelcula. Autopsia es un navegador forense es una interfaz grfica para las 133

Traducido por Sykrayo Espaa

herramientas de lnea de comandos en el kit Sleuth. Pueden ser utilizados para analizar los sistemas Windows o Linux.

134

Traducido por Sykrayo Espaa

pyFlag est diseado para simplificar el proceso de anlisis de archivo de registro y las investigaciones forenses. Regviewer es un navegador de archivos de registro de Windows. HexEditor es un editor binario simple. Permite a los usuarios ver y editar un archivo binario, tanto en hexadecimal y ASCII con un nivel de mltiples deshacer / rehacer mecanismo. Xfce Dif. es GUI para los comandos diff y patch GNU. Con esta utilidad, puede ver las diferencias entre los archivos o directorios. xhfs es un navegador de sistema de archivos para Macintosh El men Manuales El men Manuales contiene cuatro manuales de referencia en lnea: pyFlag cubre el funcionamiento bsico de la utilidad pyFlag. RAID-Montaje detalla algunas de las cuestiones involucradas en la reconstruccin de unidades RAID para el anlisis forense. Particin-Info enumera los identificadores de particin para muchos tipos de particiones diferentes. Sleuthkit-Informer artculos contiene 21 nmeros del boletn bimensual. El men de Respuesta a Incidentes El men de Respuesta a Incidentes contiene 3 utilidades: Etreo es el clsico analizador de protocolos de red. ClamAV es el conjunto de herramientas GPL Clam Antivirus para UNIX. F-Prot AntiVirus se ha desarrollado para identificar y eliminar los virus que amenazan a las estaciones de trabajo que ejecutan Linux.

135

Traducido por Sykrayo Espaa

El men de Office El men de Office contiene 4 utilidades: Visor de PDF Para ver archivos PDF Acrobot. Escritor - Un procesador de textos compatible con MS Word. Impresionar - Un programa de presentacin compatible con MS PowerPoint. Calc - Un programa de hoja de clculo compatible con Excel MS. Adems, existen numerosas otras herramientas basadas en Linux disponibles en los otros mens.

136

Traducido por Sykrayo Espaa

Adepto Adepto fue creado por Drew Fahey de e-fense.com Adepto es un GUI front-end a dd / dcfldd / sdd y fue diseado para simplificar la creacin de imgenes de bits forenses, y para crear automticamente una cadena de custodia. Adepto Caractersticas Adepto tiene varias caractersticas y posibilidades, que incluyen los siguientes: auto-deteccin de IDE y SCSI, CD-ROM y unidades de cinta posibilidad de utilizar dd, dcfldd o sdd verificacin de la imagen entre la fuente y la copia a travs de MD5 o SHA1 compresin de imagen / descompresin a travs de gzip/bzip2 imagen sobre una red TCP / IP a travs de Netcat / Cryptcat o SAMBA (NetBIOS) unidades de cinta SCSI apoyos limpiar (puesta a cero) duros o particiones dividir las imgenes en mltiples segmentos El registro detallado con fechas / horas y completa de lnea de comandos utilizados.

A partir Adepto Al iniciar Adepto, se le pedir un usuario y una number.This caso es muy til para hacer el seguimiento de varios casos, as como el mantenimiento de una cadena de custodia. El nmero de caso se basa en la fecha actual, pero puede ser modificado para ajustarse al tamao de su sistema de numeracin caso. Una vez que el usuario hace clic en "Go", el programa permite el acceso a varias pestaas: Informacin del dispositivo, adquirir, restaurar / Clone, Corredera, Cadena de Custodia. Informacin del dispositivo La ficha Informacin del dispositivo mostrar informacin acerca de los diversos dispositivos en el sistema. Seleccione el nombre del dispositivo mediante el men desplegable. 137

Traducido por Sykrayo Espaa

El botn de descarga al lado de la caja de presentacin, aparecer una lista de todos los dispositivos conectados al sistema. Si el dispositivo no est en la lista, hacer clic en "[Volver a escanear dispositivos]" hipervnculo. Una vez seleccionado el dispositivo, se mostrar la informacin, como la marca, modelo, etc, para el dispositivo.

Adquirir Una vez que se ha seleccionado un dispositivo, la ficha Adquirir estar disponible, donde el usuario puede seleccionar varias opciones para la copia real. El usuario puede introducir notas de imagen opcionales. Segn la informacin de destino, el usuario puede seleccionar los dispositivos que estn conectados fsicamente al sistema o conectados a la red mediante NetBIOS o Netcat. El usuario y especificar las opciones para el comando dd, incluyendo el tipo de hash, el tamao del segmento, y las opciones avanzadas que incluyen tamaos de bloques y ms. Una vez seleccionadas las opciones, las latas de usuario seleccione "Start 138

Traducido por Sykrayo Espaa

..." para iniciar el proceso de adquisicin. Desde Adepto es un front-end de dd, usted est realmente utilizando dd adquirir las imgenes. GRAB slo hace la lnea de comandos larga ya veces fea ms fcil

139

Traducido por Sykrayo Espaa

manage.You debe estar familiarizado con la sintaxis dd antes de embarcarse en el uso de Adepto como su herramienta de adquisicin, pero no es necesario. Hemos de tener en cuenta que pueden causar la prdida permanente de los datos de su DISCOS DUROS si invierte los dispositivos origen y destino. Si desea enviar la imagen capturada a un servidor de red a travs de Netcat / Cryptcat o Samba utilizando NetBIOS. Una vez seleccionado el tipo de destino que se le solicitar la informacin adicional necesaria para establecer el conectado. Si desea utilizar Netcat / Cryptcat, a continuacin, escriba la direccin IP del servidor y el nmero de puerto que el Netcat / Servidor Cryptcat est escuchando. Si selecciona NetBIOS, tendr que hacer clic en el botn [Obtener share] hipervnculo que aparezca un cuadro de dilogo de "montaje remoto Share".

Restaurar / Clonar La ficha Restaurar / Clone permite al usuario restaurar una imagen a un dispositivo o recombinar las imgenes divididas en un solo archivo. Para restaurar una imagen dividida, el usuario especifica el primer archivo de la serie de divisin (normalmente termina con una .000), a continuacin, selecciona una unidad de destino, o en un archivo de destino. Al hacer clic en el botn Restaurar completar la tarea. Esta ficha tambin permite al usuario para clonar un dispositivo a otro. Al igual que los servicios pblicos como Drive Image y Ghost, salvo que se haga una copia forense del dispositivo fuente. En ambos casos, el dispositivo de destino debe ser montado como lectura / escritura.

140

Traducido por Sykrayo Espaa

Log La ficha de registro muestra un registro de datos de todas las acciones que el usuario est haciendo.

Cadena de Custodia Adepto crear automticamente un formulario de cadena de custodia segn el dispositivo que se va a examinar. El usuario slo tiene que llenar slo el nmero de pruebas y haga clic en el botn Crear. Un formulario de cadena de custodia se guardar en la unidad de destino.

141

Traducido por Sykrayo Espaa

AIR: Imagen automatizada y restauracin Desarrollado por Steve Gibson. Disponible desde https://sourceforge.net/projects/air-imager/ A continuacin se toma de http://air-imager.sourceforge.net/ AIR (Automated Image and Restore) es una interfaz grfica de usuario front-end a dd / dcfldd diseado para crear fcilmente imgenes de bits forenses. Caractersticas: auto-deteccin de IDE y SCSI, CD-ROM y unidades de cinta posibilidad de utilizar dd o dcfldd verificacin de la imagen entre la fuente y la copia a travs de MD5 o SHA1/256/384/512 compresin de imagen / descompresin a travs de gzip/bzip2 imagen sobre una red TCP / IP a travs de netcat / cryptcat unidades de cinta SCSI apoyos limpiar (puesta a cero) duros o particiones dividir las imgenes en mltiples segmentos el registro detallado con fechas / horas y completa de lnea de comandos utiliza

142

Traducido por Sykrayo Espaa

143

Traducido por Sykrayo Espaa

Ropa: EnCase herramienta de adquisicin de imgenes. Desarrollado por EnCase. Disponible desde http://www.guidancesoftware.com A continuacin se toma de http://www.guidancesoftware.com /products/v5_manualexcerpts.asp La utilidad de lino EnCase permite adquirir cualquier dispositivo desde un equipo forense basado en Linux. La utilidad de lino proporciona un mtodo alternativo de adquisicin de un dispositivo a travs de FastBloc en Windows, o EN.exe en DOS. Este mtodo tambin permite a los usuarios de hash cualquier dispositivo presente en el sistema operativo Linux que se est ejecutando. Con la introduccin de la ropa, los usuarios tienen ahora la posibilidad de adquirir mquinas Linux a travs de un cable de conexin desde el cliente de Windows EnCase ponindolo en modo de servidor. El lino es dependiente de la distribucin de Linux que est instalado en. Ver el captulo de este documento titulado EnCase Utilidad Adquisicin de lino para obtener informacin ms detallada. El siguiente se basa en las direcciones desde http://www.guidancesoftware.com / spoyo / articles / acquire_safely.asp,y que han sido modificados para Helix. Local: "Linux Drive to Drive" El Mtodo Local Linux significa que va a iniciar en una distribucin de Mount No Auto de Linux y:

Adquirir el disco duro del sospechoso desde su propio ordenador, o Adquirir el disco duro del sospechoso en su / su equipo con el disco duro de almacenamiento en su / su equipo.

PRECAUCIN: Para realizar esto, es necesario asegurarse de que el equipo que contiene el disco duro sospechoso se iniciar desde el sistema no Auto Mount Linux SOLAMENTE. Esto es excepcionalmente importante porque si accidentalmente arrancar en el sistema operativo sospechosos, o si su distribucin de Linux "Auto-Montes" la sospecha de disco duro, usted va a escribir en el disco duro del sujeto. Tenga cuidado y verifique dos veces cada paso. 1. Conecte el disco duro sospechoso y una unidad de destino con formato FAT32 al ordenador 2. Asegrese CD Helix est cargado y el sistema est configurado para arrancar desde el CD. Encienda el ordenador 3. Abra un shell de comandos. Cambie la unidad de destino FAT32 para leer / escribir. 4. Cree un punto de montaje para el disco duro de almacenamiento FAT32 escribiendo "mkdir / media/FAT32" 5. Determine el nombre del dispositivo de disco duro mediante el examen de la salida del comando "fdisk-l" a. Como referencia general, Linux sigue las convenciones de nomenclatura siguiente: i.hda - Primary Master II. hdb - Primary Slave iii. hdc - Secondary iv.hdb 144

Traducido por Sykrayo Espaa

Maestro - Esclavo Secundario v Dispositivos FireWire SCSI, USB y se etiquetan como sda, sdb, sdc, etc ...

145

Traducido por Sykrayo Espaa

6. Monte la particin de almacenamiento para el punto de montaje, escriba "mount / dev / hdx # / media/FAT32" Dnde est la unidad y particin que ha encontrado antes en la etapa 5 (Ejemplo: hda3) 'hdx #' 7. Ejecutar el programa de lino escribiendo "lino"

8. Seleccione Adquirir 9. Especifique la ubicacin de destino, lo que debera ser "/ media/FAT32" 10. Rellena los campos requeridos restantes y la adquisicin comenzar 11. Una vez que la adquisicin se haya terminado, salga EnCase para Linux 12. Apague el sistema 13. Ahora quite los cables de alimentacin y de datos desde el disco duro sospechoso

146

Traducido por Sykrayo Espaa

Perdiguero Retriever es una nueva herramienta creada por m exclusivamente para el CD Helix. Retriever es una imagen (imagen / video) de utilidad para la captura de "golpe y conversaciones", "ojeadas rpidas" y las bsquedas generales. Retriever buscar un dispositivo montado y localizar todas las imgenes y archivos de pelcula y puede colocarlos en una llave USB (o la unidad local), as como abrir un visor de imgenes para verlas. Al iniciar el programa, el usuario puede agregar las rutas para examinar haciendo clic en el botn "+ Add", navegando a el directorio y haga clic en Aceptar.

Una vez que se han agregado los caminos, el usuario selecciona el tipo de archivos que estn buscando. En este caso, el usuario est buscando la unidad de destino montado en / mnt/hda1, y busca archivos grficos.

147

Traducido por Sykrayo Espaa

Despus de unos minutos, se muestra la lista de archivos que coinciden con el criterio del usuario. En este caso, vemos que se han encontrado 510 archivos grficos. Retriever ha creado una serie de enlaces simblicos a estos archivos en el / Tmp / directorio de enlaces (este directorio se puede cambiar mediante el acceso a la ficha "Opciones". El botn Guardar guardar una lista de todos los nombres de archivo y rutas. No va a guardar las imgenes.

Al hacer clic en el botn "Ver" abrir el administrador de archivos, que muestra miniaturas de las imgenes. Haga doble clic en cualquiera de las imgenes, se abrir la imagen a tamao completo.

Para guardar los archivos en un dispositivo extrable, como una unidad USB, asegrese de que la unidad est montado como lectura / escritura y cambie la configuracin en la ficha "Opciones". 148

Traducido por Sykrayo Espaa

En este caso, el usuario va a copiar los archivos en el directorio / mnt/sda1/images, con la que se encuentra en una unidad USB extrable. Debe hacer clic en el botn "Buscar" nuevamente, buscar para los grficos, y como se encuentran, que se copia en el directorio especificado. Adems de las imgenes, tambin habr un archivo de texto llamado GRFICO-logfile contiene las rutas de las todas las imgenes. Cada tipo de bsqueda producir su propio archivo de registro.

149

Traducido por Sykrayo Espaa

Autopsia Desarrollado por Brian Carrier. Disponible desde http://www.sleuthkit.org/autopsy/ A continuacin se toma de http:// Www.sleuthkit.org / autopsia / desc.php El navegador forense Autopsy es una interfaz grfica para las herramientas de anlisis de investigacin digitales de lnea de comandos en El kit Sleuth. Juntos, pueden analizar Windows y UNIX discos y sistemas de ficheros (NTFS, FAT, UFS1 / 2, Ext2 / 3). The Sleuth Kit y Autopsy son tanto de cdigo abierto y se ejecutan en plataformas UNIX. En la autopsia se basa en HTML, puede conectarse al servidor de Autopsy desde cualquier plataforma con un navegador HTML. Autopsy proporciona un "Administrador de archivos"-como interfaz y muestra detalles acerca de los datos eliminados y estructuras del sistema de archivos. Modos de anlisis

Un anlisis muerto se produce cuando se utiliza un sistema de anlisis dedicado para examinar los datos de un sistema de sospechoso. Autopsia y el kit Sleuth se ejecutan en un entorno de confianza, por lo general en un laboratorio. Un anlisis en vivo se produce cuando se analiza el sistema sospechoso mientras se est ejecutando. En este caso, la autopsia y La Sleuth Kit se ejecutan desde un CD en un ambiente no es de confianza. Se utiliza con frecuencia en respuesta a un incidente mientras se confirma el incidente. Despus de que se confirm, el sistema puede ser adquirida y lleva a cabo un anlisis muertos.

Pruebas Tcnicas de Bsqueda

Archivo de lista: Analizar los archivos y directorios, incluyendo los nombres de los archivos borrados y los archivos con nombres Unicode de base.

150

Traducido por Sykrayo Espaa

Contenido del archivo: El contenido de los archivos se pueden ver en crudo, hexagonal, o las cadenas de caracteres ASCII se pueden extraer. Cuando se interpretan los datos, Autopsia desinfecta que para evitar daos en el sistema de anlisis local. La autopsia no utiliza lenguajes de script del lado del cliente.

Bases de datos hash: Buscar archivos desconocidos en una base de datos de hash para identificar rpidamente como bueno o malo. Autopsia utiliza la Biblioteca Nacional de Referencia de Software NIST (NSRL) y el usuario ha creado bases de datos de conocidos buenos y conocidos archivos mal. Tipo de Archivo Clasificacin: Ordene los archivos basados en sus firmas internas para identificar los archivos de un tipo conocido. La autopsia tambin puede extraer slo las imgenes grficas (incluidas las miniaturas). La extensin del archivo tambin se compara con el tipo de archivo para identificar los archivos que pueden haber tenido su extensin cambiada a ocultarlos. Cronograma de Actividades del archivo: En algunos casos, tener una lnea de tiempo de actividad de los archivos puede ayudar a identificar las reas de un sistema de archivos que pueden contener pruebas. Autopsia puede crear lneas de tiempo que contengan entradas para la modificacin, Access, y Cambio (MAC) veces de ambos archivos asignados y sin asignar.

151

Traducido por Sykrayo Espaa

152

Traducido por Sykrayo Espaa

Bsqueda de palabras clave: Bsquedas de palabras clave de la imagen del sistema de archivos se pueden realizar utilizando cadenas de caracteres ASCII y expresiones regulares grep. Las bsquedas se pueden realizar ya sea la imagen del sistema de archivos completo o slo el espacio no asignado. Un archivo de ndice puede ser creado para agilizar las bsquedas. Cuerdas que se buscan con frecuencia para se pueden configurar fcilmente en la autopsia para la bsqueda automatizada. Meta Data Analysis: Estructuras de metadatos contienen los detalles sobre los archivos y directorios. Autopsia le permite ver los detalles de cualquier estructura de metadatos del sistema de archivos. Esto es til para la recuperacin de contenido eliminado. La autopsia buscar los directorios para identificar la ruta completa del archivo que se ha asignado la estructura. Anlisis de datos de la unidad: Las unidades de datos se donde se almacena el contenido del archivo. Autopsia le permite ver el contenido de cualquier unidad de datos en una variedad de formatos, incluyendo ASCII, hexdump y cuerdas. El tipo de archivo tambin se da y autopsia buscar las estructuras de metadatos para identificar que ha asignado la unidad de datos. Detalle de la Imagen Detalles del sistema de archivos se pueden ver, incluyendo diseo y el tiempo de actividad en el disco. Este modo proporciona informacin que es til durante la recuperacin de datos.

Manejo de Casos

Manejo de Casos: Las investigaciones se organizan por casos, que pueden contener uno o ms hosts. Cada host est configurado para tener su propia configuracin de zona horaria y el reloj no funciona correctamente por lo que las horas son las mismas que el usuario original se habra visto. Cada host puede contener una o varias imgenes del sistema de archivos para analizar. Secuenciador Evento: Eventos basados en el tiempo pueden ser aadidas a partir de la actividad de archivo o IDS y los registros del cortafuegos. Tipo de autopsia los eventos de modo que la secuencia de eventos incidentes se pueden determinar ms fcilmente. Notas: Las notas se pueden guardar en una base per-host y per-investigador. Estas te permiten hacer notas rpidas sobre archivos y estructuras. La ubicacin original se puede recuperar fcilmente con el clic de un botn cuando las notas son luego revisados. Todas las notas se almacenan en un archivo ASCII archivo. Integridad de la imagen: Es crucial para asegurar que los archivos no se modifican durante el anlisis. La autopsia, por defecto, generar un valor MD5 de todos los archivos que se importan o se crean. La integridad de cualquier archivo que utiliza la autopsia pueden ser validadas en cualquier momento. Informes: Autopsia puede crear informes ASCII para los archivos y otras estructuras del sistema de archivos. Esto le permite realizar rpidamente las hojas de datos consistentes durante la investigacin. Inicio de sesin: Los registros de auditora se crean en un caso, de acogida, y el nivel investigador de modo que las acciones se pueden recuperar fcilmente. Los comandos exactos del kit Sleuth que se ejecutan tambin se registran. Diseo abierto: El cdigo de la autopsia es de cdigo abierto y todos los archivos que utiliza estn en un formato raw. Todos los archivos de configuracin se encuentran en texto ASCII y los casos son organizadas por directorios. Esto hace que sea fcil de exportar los datos y archivarlo. 153

Traducido por Sykrayo Espaa

Tambin no le restringe el uso de otras herramientas que pueden resolver el problema especfico ms apropiado. Modelo de servidor de cliente: Autopsy es basada en HTML y por lo tanto usted no tiene que estar en el mismo sistema que las imgenes del sistema de archivos. Esto permite que varios investigadores a utilizar el mismo servidor y conectarse a sus sistemas personales.

La autopsia est escrito en Perl y se ejecuta en las mismas plataformas UNIX como The Sleuth Kit:

Linux Mac OS X Abrir y FreeBSD Solaris

154

Traducido por Sykrayo Espaa

pyFlag Desarrollado por David Collett y Michael Cohen. D i s p o n i b l e d e s d e


http:/ /pyflag.sourceforge.net /

A continuacin se toma de http://pyflag.sourceforge.net/ FLAG (Forense y Log Analysis GUI) fue diseado para simplificar el proceso de anlisis de archivo de registro y las investigaciones forenses. A menudo, cuando se investiga un caso grande, una gran cantidad de datos necesitan ser analizados y correlacionados. PyFlag utiliza una base de datos como un motor para ayudar en la gestin de los grandes volmenes de datos. Esto permite PyFlag a seguir respondiendo y agilizar las operaciones de manipulacin de datos. Desde PyFLAG est basado en la web, que es capaz de ser desplegado en un servidor central y compartido con un nmero de usuarios al mismo tiempo. Los datos se cargan en los casos que se guarda la informacin separado. PyFlag comenz como un proyecto en el Departamento de Defensa de Australia. Ahora est alojado en Sourceforge. A continuacin se toma de http://pyflag.sourceforge.net/DOCUMENTACIN / manual / index.html Visin de conjunto La arquitectura general PyFlag se muestra a continuacin.

Los siguientes son los principales componentes de PyFlag:

Fuentes IO: datos forense es a menudo disponibles en una variedad de diferentes formatos. La fuente IO es un PyFlag permitiendo la abstraccin para manejar los tipos de archivos de entrada arbitrarias usando diferentes drivers para presentar una vista lgica coherente y uniforme de los datos. El gestor de sistema de archivos: imgenes forenses contienen una gran variedad de sistemas de archivos. El controlador de sistema de archivos permite PyFlag para soportar diferentes formatos de sistemas de archivos. El controlador de sistema de 155

Traducido por Sykrayo Espaa


archivos es responsable de llenar inicialmente el VFS con un listado de los archivos que se encuentran en el sistema de archivos que se investiga.

156

Traducido por Sykrayo Espaa

El sistema de archivos virtual: PyFlag utiliza la idea original de Unix que "todo es un archivo". La VFS es el principal escenario para la presentacin de informacin a los usuarios. Los archivos en el VFS no existen necesariamente en la imagen, sino que representan la informacin que se ha deducido sobre el sistema de archivos. Escner: exploracin es un proceso que pasa todos los archivos en un directorio determinado a travs de uno o ms escneres. Un escner es un componente que estudia los archivos que se estn escaneados y recopila informacin sobre estos archivos. Esto puede incluir la adicin de nuevos archivos en el VFS (que podran ser escaneados de nuevo). El widget de interfaz grfica de usuario y la tabla: La interfaz grfica de usuario proporciona un mecanismo para examinar los resultados de los escneres, y la navegacin de los VFS. Un informe es un conjunto limitado de funciones que proporciona acceso a los datos recogidos por los escneres especializados. Procesamiento y la automatizacin: Es genial ser capaz de usar la interfaz grfica de usuario para el examen de los datos, pero a menudo queremos automatizar ciertas tareas para que puedan hacerse ms eficiente. Esta seccin cubre flash (The Shell Flag). Network Forensics: En esta seccin se describe el anlisis forense mdulo de red de PyFlag.

Hay algunos excelentes tutoriales disponibles en: http://wiki.lca2006.linux.org.au / Py2520Tutorial Flag% http://pyflag.sourceforge.net/Documentation / tutoriales / index.html

157

Traducido por Sykrayo Espaa

Regviewer Desarrollado por Chris guila. Disponible desde http://sourceforge.net/projects/regviewer / Regviewer es un navegador de archivos de registro de Windows. Es independiente de la plataforma que permite el examen de los archivos de registro de Windows desde cualquier plataforma. Es particularmente til cuando se realizan anlisis forense de archivos de Windows de los sistemas * nix. Aunque el registro parece estar en un archivo, se coloca realmente en el equipo en varios archivos. Dependiendo de la configuracin del sistema, archivos de registro se pueden encontrar en cualquiera de los siguientes lugares: Para los sistemas Windows 95, 98 y Me: C: \ Windows \ System.dat C: \ Windows \ User.dat C: \ Windows \ Profiles \ Policy.pol En Windows 2000 y XP C: \ Documents and Settings \ nombre de usuario \ Ntuser.dat C: \ Windows \ System32 \ Config \ Security, SYSTEM.ALT, Default, Sam, Software, Sistema Los siguientes magos se toman de http :/ / www.cs.usask.ca / estudiantes de licenciatura/ Das322/Cmpt352/DFT/index.html Cuando se inicia la aplicacin regviewer, ver la siguiente pantalla.

158

Traducido por Sykrayo Espaa

Al seleccionar Registro / Importar archivo del Registro ..., se abrir una ventana de directorio. Vaya a la ubicacin en la que la seccin del Registro que desea examinar ubicada.

Se mostrar el directorio y se puede navegar de una manera muy similar a la de Windows Programa Regedit.

159

Traducido por Sykrayo Espaa

HexEditor (GHex) Desarrollado por Jaka Mocnik. Disponible desde http://directory.fsf.org / text / editores / ghex.html GHex es un editor binario simple. Permite a los usuarios ver y editar un archivo binario, tanto en hexadecimal y ascii con mltiples niveles de deshacer / rehacer mecanismo. Las caractersticas incluyen funciones de bsqueda y reemplazo, la conversin entre binario, octal, valores decimales y hexadecimales, y el uso de una alternativa, el concepto de MDI configurable por el usuario que permite a los usuarios editar varios documentos con mltiples puntos de vista de cada uno. Para examinar cualquier archivo, seleccione Archivo / Abrir y seleccione el archivo que desea examinar.

160

Traducido por Sykrayo Espaa

Xfce Dif. Desarrollado por Edscott Garca. Disponible desde http://www.xfce.org Xfdiff 4.3.4 es la interfaz grfica de los comandos de parche GNU diff y. Con esta utilidad, puede ver las diferencias de lado a lado de los archivos o directorios. Tambin puede ver las diferencias que la aplicacin de un parche archivo implicara, sin aplicar el parche. Tambin puede aplicar parches en el disco duro o crear archivos de revisin de las diferencias entre los archivos o directorios.

Aqu est comparando Xfdiff dos archivos diferentes (imagen tomada de http://xffm.sourceforge.net / imgenes / xfdifF/)

161

Traducido por Sykrayo Espaa

xhfs Desarrollado por Robert Leslie. Disponible desde http://www.mars.org / home/ Rob / proj / hfs/ El siguiente fue tomado de http:/ / Linuxcommand.org/man_pages/xhfs1.html xhfs es una interfaz grfica para manipular volmenes HFS (Macintosh) SINOPSIS xhfs [left-path [right-path]] DESCRIPCIN xhfs presenta un front-end grfico para la navegacin y la copia de archivos en volmenes con formato HFS.

La pantalla se divide en dos partes, izquierda y derecha, que se puede ver cada uno independientemente un directorio en ya sea un volumen HFS o el anfitrin (UNIX) sistema de archivos. Haga doble clic en el nombre de un directorio en la vista se abre ese directorio. Un men pop-up en la parte superior de cada vista de directorio se puede utilizar para navegar en cualquier directorio entre el actual y el principio de la jerarqua.

162

Traducido por Sykrayo Espaa

Los archivos de texto se pueden ver haciendo doble clic en ellos. Cualquier archivo o conjunto de archivos se pueden copiar en el directorio que se muestra en el otro punto de vista, seleccionndolos y haciendo clic en el botn "Copy". La copia se realiza de acuerdo con el modo de copia seleccionado: MacBinary II El archivo (s) se copia en el formato MacBinary II. Este es el modo recomendado para la transferencia de archivos de Macintosh arbitrarias. BinHex El archivo (s) se copia en el formato BinHex. Este modo se debe utilizar para codificar Archivos de Macintosh en estricto formato ASCII. Texto En este modo, slo el tenedor de datos (s) del archivo seleccionado (s) son copied.Furthermore, la traduccin se realiza en caracteres de fin de lnea de la informacin para cumplir con el estndar para archivos de texto en el destino. Raw Data En este modo, slo el tenedor de datos (s) del archivo seleccionado (s) se copian. Sin embargo, ninguna traduccin se lleva a cabo en absoluto en los datos. Automtico A modo de copia se selecciona automticamente de acuerdo a un conjunto de heursticas.

163

Traducido por Sykrayo Espaa

Etreo Desarrollado por Gerald Combs. Disponible desde http://www.ethereal.com/ Ethereal es una herramienta sofisticada y compleja lo que le permitir navegar interactivamente el trfico de red. En las prximas pginas tienen simplemente una reimpresin de la pgina de manual - lo suficiente como para darle un vistazo a su alrededor. Para conocer realmente cmo utilizar esta herramienta, dirjase a http://www.ethereal.com/,donde puede descargar los manuales y otra documentacin. Asegrese de revisar la Wiki Ethereal http://wiki.ethereal.com / - Un tesoro de tutoriales, archivos de ejemplo, y cmo-a guas. A continuacin se toma de http://www.ethereal.com / Ethereal es utilizado por los profesionales de la red de todo el mundo para la solucin de problemas, el anlisis, desarrollo de software y protocolos, y la educacin. Tiene todas las caractersticas estndar que usted esperara en un analizador de protocolos, y varias caractersticas que no se ve en ningn otro producto. Su licencia de cdigo abierto permite talentosos expertos en la comunidad de red para agregar mejoras. Se ejecuta en todas las plataformas informticas ms populares, incluyendo Unix, Linux y Windows. Ethereal es todava tcnicamente software beta, pero tiene un conjunto de caractersticas y es adecuado para su uso en produccin. Aqu est la lista de caractersticas, la corriente desde la versin 0.9.14, sin ningn orden en particular: Los datos pueden ser capturados "el alambre" de una conexin de red activa, o ledos desde un archivo de captura. Ethereal puede leer archivos de captura de tcpdump (libpcap), de NAI Sniffer (comprimido y sin comprimir), Sniffer Pro, NetXray , Sun snoop y atmsnoop, y muchos otros programas. Cualquiera de estos archivos se pueden comprimir con gzip y Ethereal se descomprimirlos sobre la marcha. Datos en tiempo real se pueden leer en Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP clsico sobre ATM, y las interfaces de bucle invertido (al menos en algunas plataformas, no todos los tipos son compatibles con todas las plataformas). Datos de red capturados se pueden consultar a travs de una interfaz grfica de usuario, oa travs del programa de TTY-mode "tethereal". Los archivos de captura pueden ser editadas mediante programacin o convertidos a travs de interruptores de lnea de comandos para el programa "editcap". 750 protocolos actualmente pueden ser diseccionados: La salida se puede guardar o imprimir como texto plano o PostScript . Visualizacin de datos puede ser refinado utilizando un filtro de pantalla. Filtros de visualizacin tambin se puede utilizar para resaltar selectivamente y color resumen de informacin de paquetes. Todo o parte de cada traza de red capturados se pueden guardar en el disco.

Lo siguiente es de http://www.ethereal.com/ Hacercs/man-pages/ethereal.1.html 164

Traducido por Sykrayo Espaa

Synopsys etreo [-A condicin autostop captura] ... [-B opcin de memoria cclica captura] ... [Bcaptura de tamao de bfer (Win32 nicamente)] [-c captura recuento de paquetes] [-f filtro de captura] [-g nmero de paquete] [- h] [-i interfaz de captura] [-k] [-l] [-l] [ -m font] [-n] [-N nombre resolver banderas] [opreferencias / ajuste reciente] ... [-P] [-Q] [-r infile] [-R read (display) de filtro] [-S] [-s captura snaplen] [-T formato de fecha y hora] [-v] [-w archivo de salvar] [-y la captura de tipo link] [-z estadsticas] [infile]

DESCRIPCIN Etreo es un analizador de protocolos de red GUI. Te permite navegar interactivamente paquetes de datos de una red viva o de un archivo de captura previamente guardado. Formato de archivo de captura nativa de Ethereal es un formato libpcap, que es tambin el formato utilizado por tcpdump y otras herramientas. Etreo puede leer / importar los siguientes formatos de archivo: libpcap, tcpdump y otras herramientas que utilizan el formato de captura de tcpdump snoop y atmsnoop Shomiti / Finisar capturas Surveyor Novell LANalyzer captura Microsoft Network Monitor capturas Iptrace capturas de AIX Cinco Redes NetXRay capturas Network Associates Sniffer captura basados en Windows General de la Red / Network Associates DOS Sniffer (comprimido o sin comprimir) capturas Grupo AG / WildPackets EtherPeek / TokenPeek / AiroPeek / EtherHelp / capturas PacketGrabber RADCOM WAN / LAN analizador de capturas Network Instrumentos Observador versin 9 capturas Resultado de la depuracin enrutador Lucent / Ascend archivos de Nettl de HP-UX Routers RDSI salida de volcado de Toshiba la salida de i4btrace del proyecto ISDN4BSD rastros de la AURALL Office S0. la salida en formato iplog del Secure Cisco Intrusion Detection System pppd logs (formato pppdump) la salida del VMS TCPIPtrace / tcptrace / UCX $ TRACE utilidades la salida de texto de la DBS Etherwatch VMS utilidad Captura de trfico UpTime Visual Visual Networks la salida de CoSine L2 depuracin la salida de 5Views agentes LAN de Accellent Formato de ERF Endace Measurement Systems 'captura Linux Bluez Bluetooth stack hcidump-w huellas

No hay necesidad de decir Ethereal qu tipo de archivo que est leyendo, que determinar el tipo de archivo por s mismo. Ethereal es tambin capaz de leer cualquiera de estos formatos de archivo si estn comprimidos con gzip. Etreo reconoce esto directamente desde el archivo; la extensin '. Gz' no se

165

Traducido por Sykrayo Espaa

requiere para este propsito.

166

Traducido por Sykrayo Espaa

Al igual que otros analizadores de protocolo, la ventana principal de Ethereal muestra 3 opiniones de un paquete. Muestra una lnea de resumen y una breve descripcin de lo que el paquete es. Una pantalla de detalles de paquetes se muestra, lo que permite profundizar el protocolo exacto o campo que se interese Por ltimo, un volcado hexadecimal le muestra exactamente lo que el paquete se parece a cuando circule por el cable. Adems, Ethereal tiene algunas caractersticas que lo hacen nico. Se puede reunir todos los paquetes en una conversacin TCP y le mostrar los datos ASCII o EBCDIC (o hex) en esa conversacin. Mostrar filtros en Ethereal son muy poderosos; mas los campos son filtrable en Ethereal que en otros analizadores de protocolo, y la sintaxis que se puede utilizar para crear sus filtros es ms rica. A medida que avanza Ethereal, esperan ms y ms campos de protocolo que se permita en los filtros de visualizacin. Captura de paquetes se lleva a cabo con la biblioteca PCAP. La sintaxis del filtro de captura sigue las reglas de la biblioteca pcap. Esta sintaxis es diferente de la sintaxis de filtros de visualizacin. Soporte para archivos comprimidos utiliza (y por lo tanto requiere) la biblioteca zlib. Si la biblioteca zlib no est presente, Etreo compilar, pero no ser capaz de leer archivos comprimidos. La ruta de acceso de un archivo de captura para ser ledo se puede especificar con la opcin-r, o se puede especificar como un argumento de lnea de comandos.

OPCIONES La mayora de los usuarios querrn empezar Ethereal sin opciones y configurarlo desde los mens del lugar. Los usuarios slo pueden saltarse esta seccin. -Un Especifique un criterio que especifica cundo Ethereal es dejar de escribir en un archivo de captura. El criterio es el de la prueba de forma: valor, donde la prueba es uno de: duracin: valor Deje de escribir en un archivo de captura despus de que hayan transcurrido segundo valor. tamao del archivo: el valor Deje de escribir en un archivo de captura despus de que alcance un tamao de kilobytes de valor (en un kilobyte es 1000 bytes, no a 1024 bytes). Si esta opcin se utiliza junto con la opcin-b, Ethereal se deje de escribir en el fichero de captura actual y pasar a la siguiente si se alcanza tamao del archivo. Archivos: valor Deje de escribir para capturar archivos fueron escritos despus del valor de los archivos. -B Causa Ethereal para ejecutarse en varios archivos ``'' Modo. En `` varios archivos'' modo, Ethereal escribir a varios archivos de captura. Cuando el primer archivo de captura se llena, Ethereal se cambiar la escritura al archivo siguiente y as sucesivamente. Los nombres de los archivos creados se basan en el nombre de archivo dado con el distintivo-w, el nmero del archivo y la fecha y hora de creacin, por ejemplo, savefile_00001_20050604120117.pcap, savefile_00001_20050604120523.pcap, ... 167

Traducido por Sykrayo Espaa

Con la opcin de archivos tambin es posible formar un `` anillo de separacin''. Esta se llenar de nuevos archivos hasta que se especifique el nmero de archivos, y en ese momento Ethereal, se descartarn los datos en el primer archivo y empezar

168

Traducido por Sykrayo Espaa

escrito a ese archivo y as sucesivamente. Si la opcin de archivos no se ha establecido, los nuevos archivos se llenaron hasta que una de las condiciones de parada de captura coincide (o hasta que el disco si est lleno). El criterio es de la forma clave: valor, donde la clave es uno de: duracin: valor cambiar al archivo siguiente, despus de que hayan transcurrido valor segundos, incluso si el archivo actual no se llena por completo. tamao del archivo: el valor cambiar al archivo siguiente despus de que alcance un tamao de kilobytes de valor (donde un kilobyte es 1000 bytes, no a 1024 bytes). Archivos: valor empezar de nuevo con el primer archivo despus del valor de los archivos fueron escritos (formar una memoria cclica). -B Win32 solamente: establecer el tamao de bfer de captura (en MB, por defecto es de 1 MB). Esto es utilizado por el controlador de la captura a bfer de paquetes de datos hasta que los datos se pueden escribir en el disco. Si tiene prdida de paquetes durante la captura, intente aumentar este tamao. -C Establecer el nmero mximo de paquetes para leer en la captura de datos en tiempo real. -F Establezca la expresin de filtro de captura. -G Despus de leer en un archivo de captura utilizando el indicador-r, vaya al nmero de paquete dado. -H Imprimir la versin y las opciones y salir. -I Establezca el nombre de la interfaz de red de tubera que se utilizar para la captura de paquetes en directo. Nombres de interfaz de red debe coincidir con uno de los nombres que figuran en ``'' tethereal-D. Si est utilizando Unix, `` netstat-i'' o `` ifconfig-a'' tambin podra funcionar para listar los nombres de interfaces, aunque no todas las versiones de Unix soportan la opcin-a para ifconfig. Nombres de tuberas deben ser el nombre de un FIFO (tubera con nombre) o `` -'' para leer datos de la entrada estndar. Los datos ledos de los tubos deben estar en formato libpcap estndar. -K Inicie la sesin de captura inmediatamente. Si se especifica la opcin-i, la captura utiliza la interfaz especificada. De lo contrario, las bsquedas Ethereal la lista de interfaces, la eleccin de la primera interfaz activa sin bucle si hay alguna interfaz sin bucle, y elegir la primera interfaz de bucle invertido si no hay interfaz sin bucle, y si no hay interfaces, reportes Ethereal un error y no se inicia la captura. -L Encienda el desplazamiento automtico si la pantalla paquete se actualiza automticamente a medida que llegan los paquetes durante una captura (segn lo especificado por la opcin-S). -L Enumere los tipos de enlace de datos soportados por la interfaz y salida. 169

Traducido por Sykrayo Espaa

-M Establezca el nombre de la fuente utilizada por Ethereal para la mayora de texto. Ethereal construir el nombre del tipo de letra negrita se utiliza para los datos en el panel de vista byte correspondiente al campo seleccionado en el panel de detalles de paquete a partir del nombre de la fuente de texto principal.

170

Traducido por Sykrayo Espaa

-N Desactivar la resolucin de nombres de objeto de red (por ejemplo, los nombres de puerto UDP nombre de host TCP y), el indicador-N podra invalidar ste. -N Encienda el nombre resolver nicamente para determinados tipos de direcciones y nmeros de puerto, con el nombre de la resolucin de otros tipos de direcciones y nmeros de puerto desactivada. Esta bandera anula-n si ambos-N y-n presentes. Si ambos-N y-N banderas no estn presentes todas las resoluciones de nombres estn encendidos. El argumento es una cadena que puede contener las letras: mpara permitir la resolucin de la direccin MAC npara permitir la resolucin de direcciones de red tpara permitir que la capa de transporte resolucin nmero de puerto Cpara habilitar bsquedas DNS simultneas (asncronos) -O Establezca una preferencia o valor reciente, anulando el valor por defecto y cualquier valor ledo de una preferencia / archivo reciente. El argumento de la bandera es una cadena de la forma prefname: valor, donde prefname es el nombre de la preferencia / value reciente (que es el mismo nombre que aparece en el archivo de preferencias / reciente), y el valor es el valor al que se debe establecer. Banderas Desde Ethereal 0.10.12, los ajustes recientes sustituye al anteriormente utilizado-B,-P y-T para manipular las dimensiones GUI. -P No haga poner la interfaz en modo promiscuo. Tenga en cuenta que la interfaz puede estar en el modo promiscuo por alguna otra razn, por lo que-p no se puede utilizar para asegurar que el nico trfico que se captura es el trfico enviado a o desde la mquina en la que etrea se est ejecutando, el trfico de difusin, y el trfico de multidifusin a las direcciones recibidas por esa mquina. -Q Causa etreo para salir despus del final de la sesin de captura (til en el modo por lotes con la opcin-c por ejemplo); esta opcin requiere que el i-y-w parmetros. -R Leer datos de paquetes de infile. -R Cuando se lee un archivo de captura especificado con el indicador-r, hace que el filtro especificado (que utiliza la sintaxis de filtros de visualizacin, en lugar de la de los filtros de captura) que se aplicar a todos los paquetes ledos del archivo de captura; paquetes no coincida con el filtro son desechado. -S Actualizar automticamente la visualizacin de paquetes como paquetes vienen pulg -S Configure la longitud predeterminada de instantneas de usar al capturar datos en tiempo real. No ms de snaplen bytes de cada paquete de red se pueden leer en la memoria o guardar en disco. -T Ajuste el formato de la fecha y hora de paquetes se muestra en la ventana de la lista de paquetes, el valor predeterminado es relativo. El formato puede ser uno de: rrelativo: El tiempo relativo es el tiempo transcurrido entre el primer paquete y el paquete actual 171

Traducido por Sykrayo Espaa

unabsoluta: El tiempo absoluto es el tiempo real fue capturado el paquete, sin fecha muestra

172

Traducido por Sykrayo Espaa

anuncio absoluta con fecha: La fecha y tiempo absoluto es el tiempo real y la fecha fue capturado el paquete ddelta: El delta de tiempo es el tiempo desde que se captur el paquete anterior -V Imprima la versin y sale. -W Establezca el nombre del archivo de captura por defecto. -Y Si la captura se inicia desde la lnea de comandos-k, establezca el tipo de enlace de datos para utilizar durante la captura de paquetes. Los valores reportados por-L son los valores que se pueden utilizar. -Z Obtenga Ethereal para recoger distintos tipos de estadsticas y mostrar el resultado en una ventana que se actualiza en tiempo semi-real. Actualmente las estadsticas implementadas son: -Z dcerpc, srt, uuid, major.minor, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para DCERPC interfaz uuid, version major.minor. Los datos recogidos es el nmero de llamadas para cada procedimiento, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z dcerpc, srt ,12345778-1234-ABCDEF00-0123456789ac, 1.0 para recopilar datos para SAMR interfaz CIFS. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z dcerpc, srt ,12345778-1234-ABCD-EF00-0123456789ac, 1.0, ip.addr == 1.2.3.4 para recopilar estadsticas SAMR SRT para un host especfico. -Z io, stat Recoger paquete / statistics bytes para la captura en intervalos de 1 segundo. Esta opcin se abrir una ventana con hasta 5 grficos codificados por colores en nmero de paquetes por segundo o de nmero de bytes por segundo estadsticas pueden ser calculados y mostrados. Esta opcin se puede usar varias veces en la lnea de comandos. Esta ventana grfica tambin se puede abrir desde el Anlisis: Estadsticas: Trfico: elemento de men IO-Stat. -Z rpc, srt, el programa, la versin [, <filter>] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para el programa / version. Los datos recogidos es el nmero de llamadas para cada procedimiento, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z rpc, srt, 100003,3 para recopilar datos para NFS v3. Esta opcin se puede usar varias veces en la lnea de comandos. Si no se proporciona la cadena de filtro opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z rpc, srt, 100003,3, nfs.fh.hash == 0x12345678 para recopilar estadsticas NFS v3 SRT para un archivo especfico. 173

Traducido por Sykrayo Espaa

-Z rpc, programas Llamada por cobrar / respuesta RTT de datos de todos los programas / versiones ONC-RPC conocidos. Los datos recogidos es el nmero de llamadas para cada protocolo / versin, MinRTT, MaxRTT y AvgRTT.

174

Traducido por Sykrayo Espaa

-Z smb, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para SMB. Los datos recogidos es el nmero de convocatorias de cada comando SMB, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z smb, srt. Los datos se presentarn en forma de tablas separadas para todos los comandos SMB normales, todos los comandos Transaction2 y todos los comandos de transaccin NT. Slo los comandos que se ven en la captura tendr sus estadsticas muestran. Slo el primer comando en una cadena de mando xAndX se utiliza en el clculo. As que para las cadenas de SessionSetupAndX + TreeConnectAndX comunes, slo la llamada SessionSetupAndX se utilizar en las estadsticas. Este es un defecto que podra ser corregido en el futuro. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` smb, srt, ip.addr == 1.2.3.4'' slo a recopilar estadsticas sobre los paquetes SMB echanged por el host en la direccin IP 1.2.3.4. -Z fc, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para FC. Los datos recogidos es el nmero de convocatorias de cada comando de canal de fibra, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z fc, srt. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre el primer paquete de la bolsa y el ltimo paquete del intercambio. Los datos se presentarn en forma de tablas separadas para todos los comandos normales de FC, slo los comandos que se ven en la captura tendr sus estadsticas muestran. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` fc, srt, fc.id == 01.02.03'' slo a recopilar estadsticas para FC paquetes echanged por el anfitrin FC direccin de 01.02.03. -Z ldap, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para LDAP. Los datos recogidos es el nmero de llamadas para cada comando LDAP implementado, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z ldap, srt. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre la solicitud y la respuesta. Los datos se presentarn en forma de tablas separadas para todos los comandos LDAP implementado, slo los comandos que se ven en la captura tendr sus estadsticas muestran. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` ldap, srt, ip.addr == 10.1.1.1'' slo a recopilar estadsticas sobre los paquetes LDAP echanged por el host con la direccin IP 10.1.1.1. 175

Traducido por Sykrayo Espaa

El comando slo LDAP que se aplican actualmente y las estadsticas estarn disponibles para son: BIND bsqueda Modificar AADIR BORRAR modrdn Comparar Extended

176

Traducido por Sykrayo Espaa

-Z MGCP, srt, [Filtro] Recoger peticiones / data SRT (Servicio Tiempo de respuesta) para MGCP respuesta. Esto es similar a la Z smb, srt). Los datos recogidos es el nmero de llamadas para cada tipo conocido MGCP, SRT mnimo, mximo y promedio SRT SRT. Ejemplo: use-z mgcp, srt. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` mgcp, srt, ip.addr == 1.2.3.4'' slo a recopilar estadsticas para MGCP paquetes intercambiados por el host en la direccin IP 1.2.3.4. -Z conv, tipo, [Filtro] Crear una tabla con todas las conversaciones que se podan ver en la captura. type especifica para qu tipo de conversacin que queremos generar las estadsticas, en la actualidad los soportados son los
"ETH" Ethernet Direcciones de canal de fibra "FC" Direcciones FDDI FDDI "" Direcciones IP "IP" Direcciones IPX "ipx" "Tcp" TCP / IP socket pairsBoth IPv4 e IPv6 son compatibles TokenRing "tr" "Udp" UDP / IP socket pairsBoth IPv4 e IPv6 son compatibles

Si se especifica la cadena de filtro opcional, slo los paquetes que coincidan con el filtro se utilizar en los clculos. El cuadro se presenta con una lnea para cada conversacin y el nmero de pantallas de paquetes / bytes en cada direccin, as como el nmero total de paquetes / bytes. De manera predeterminada, la tabla de clasificacin por nmero total de paquetes. Estas tablas tambin se pueden generar en tiempo de ejecucin mediante la seleccin del tipo de conversacin correspondiente en el men `` Herramientas / Estadstica / Conversacin List /''. -Z H225, contador, [Filtro] Cuente UIT-T H.225 mensajes y sus razones. En la primera columna se obtiene una lista de mensajes H.225 y H.225 razones de mensaje, que se producen en el archivo de captura actual. Se muestra el nmero de ocurrencias de cada mensaje o la razn de la segunda columna. Ejemplo: use-z H225, contador. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` H225, contador, ip.addr == 1.2.3.4'' slo a recopilar estadsticas para H.225 paquetes intercambiados por el host en la direccin IP 1.2.3.4. -Z H225, srt, [Filtro] 177

Traducido por Sykrayo Espaa

Recoger peticiones / data SRT (Servicio Tiempo de respuesta) de la UIT-T H.225 RAS respuesta. Los datos recogidos es el nmero de llamadas de cada UIT-T H.225 RAS Tipo de mensaje, SRT Mnimo, Mximo SRT, SRT media, mnima en paquetes, y mxima en paquetes. Tambin recibir el nmero de solicitudes pendientes (Unresponded solicitudes), Respuestas desechados (Respuestas sin juego peticin) y Duplicate Messages. Ejemplo: use-z H225, srt. Esta opcin se puede usar varias veces en la lnea de comandos. Si se proporciona el filterstring opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` H225, srt, ip.addr == 1.2.3.4'' slo a recopilar las estadsticas de la UIT-T H.225 RAS paquetes intercambiados por el host en la direccin IP 1.2.3.4. -Z sip, stat, [Filtro] Esta opcin se activa un contador de mensajes SIP. Usted recibir el nmero de ocurrencias de cada mtodo SIP y SIP de cada Estado-Code. Adems, usted tambin consigue el nmero de resentir mensajes SIP (slo para SIP sobre UDP). Ejemplo: use-z sip, stat. Esta opcin se puede usar varias veces en la lnea de comandos. Si no se proporciona la cadena de filtro opcional, las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` sip, stat, ip.addr == 1.2.3.4'' slo a recopilar estadsticas de paquetes SIP intercambiados por el host en la direccin IP 1.2.3.4.

INTERFAZ

OPCIONES DE MEN

Archivo: Abrir Archivo: Abrir reciente 178

Traducido por Sykrayo Espaa

Archivo: Cerrar Abrir o cerrar un archivo de captura. El Archivo: cuadro de dilogo abierto permite un filtro a especificar, cuando se lee el archivo de captura, el filtro se aplica a todos los paquetes de lectura de los autos, y los paquetes que no coincida con el filtro se descartan. El Archivo: Abrir reciente es un submen y se mostrar una lista de los archivos abiertos previamente. Archivo: Merge Combinar otro archivo de captura a la que actualmente cargado. El Archivo: cuadro de dilogo Fusionar permite fusionar `` Prepended'', `` Cronolgicamente'' o `` adjuntarn'', en relacin a la ya cargada. Archivo: Guardar Archivo: Guardar como Guardar la captura actual, o los paquetes que aparecen actualmente de esa captura, en un archivo. Las casillas de verificacin le permiten seleccionar si se deben guardar todos los paquetes, o simplemente aquellos que han superado la pantalla actual filtro y / o los que estn marcados en la actualidad, y un men de opciones permite seleccionar (de una lista de formatos de archivo en los que al particular, la captura, o los paquetes que aparecen actualmente de esa captura, se pueden guardar), un formato de archivo en el que desea guardarlo. Lista de archivos: Archivo: Conjunto de archivos Muestra un cuadro de dilogo que lista todos los archivos del conjunto de archivos que coincide con el archivo actualmente cargado. Un conjunto de archivos es un compuesto de los archivos resultantes de una captura utilizando los mltiples archivos'' `` /'' modo ringbuffer ``, reconocibles por el patrn de nombre de archivo, por ejemplo: Filename_00001_20050604101530.pcap. Archivo: Conjunto de archivos: Archivo siguiente Archivo: Conjunto de archivos: Archivo anterior Si el archivo cargado actualmente forma parte de un conjunto de archivos (ver arriba), abra el archivo siguiente / anterior durante el mismo. Archivo: Export Exportar datos capturados en un formato externo. Nota: los datos no se pueden volver a importar a Ethereal, as que asegrese de mantener el archivo de captura. Archivo: Imprimir Impresin de paquetes de datos de la captura actual. Usted puede seleccionar el rango de paquetes que desee imprimir (que paquetes se imprimen), y el formato de salida de cada paquete (cmo se imprime cada paquete). El formato de salida ser similar a los valores que se muestran, por lo que una lnea de resumen, la vista de detalles de paquetes, y / o el volcado del paquete se pueden imprimir. Las opciones de impresin se pueden ajustar con el men Edicin: elemento de men Preferencias, o en el cuadro de dilogo aparecido por este elemento de men. Archivo: Salir Salga de la aplicacin. Editar: Buscar Paquete Bsqueda hacia delante o hacia atrs, comenzando con el paquete seleccionado en ese momento (o el ms recientemente paquete seleccionado, si se ha seleccionado ningn paquete). Los criterios de bsqueda pueden ser una expresin de visualizacin filtro, una cadena de dgitos hexadecimales, o una cadena de texto. Durante la bsqueda de una cadena de texto, puede buscar en los paquetes de datos, o puede buscar en el texto de la Columna de informacin en el panel de la lista de paquetes o en el panel de detalles de paquetes. 179

Traducido por Sykrayo Espaa

Los dgitos hexadecimales pueden estar separados por dos puntos, puntos o guiones. Bsquedas de cadenas de texto pueden ser ASCII o Unicode (o ambos), y pueden distinguir entre maysculas y minsculas. Editar: Buscar siguiente Editar: Buscar anterior

180

Traducido por Sykrayo Espaa

Bsqueda hacia delante / hacia atrs para un paquete que coincida con el filtro de la bsqueda anterior, comenzando con el paquete seleccionado en ese momento (o el paquete ms recientemente seleccionado, si no se selecciona un paquete). Edit: Tiempo de referencia: Set Time Reference (cambiar) Establezca (o desactivar, si establece actualmente) el paquete seleccionado como un paquete de referencia Time. Cuando un paquete est configurado como un paquete de referencia de tiempo, las marcas de tiempo en el panel de lista de paquetes sern reemplazados por la cadena `` *'' * REF. La indicacin de la hora el tiempo relativo en paquetes posteriores A continuacin se calcular en relacin con la fecha y hora de este paquete de referencia de tiempo y no el primer paquete de la captura. Los paquetes que se hayan seleccionado como paquetes referencia de tiempo siempre se mostrarn en el panel de la lista de paquetes. Mostrar filtros no afectarn u ocultar estos paquetes. Si hay una columna se muestra para `` Bytes Culmulative'' Este contador se restablece en cada hora Paquete de referencia. Edit: Tiempo de referencia: Buscar siguiente Edit: Tiempo de referencia: Buscar anterior Bsqueda hacia delante / atrs durante un tiempo referenciado paquete. Edit: Mark Packet (cambiar) Marque (o desmarcar si est marcado actualmente) el paquete seleccionado. El campo ``'' frame.marked se establece para los paquetes que estn marcados, de modo que, por ejemplo, unos filtros de visualizacin pueden utilizarse para visualizar solamente los paquetes marcados, y de modo que el Editar: Buscar Packet de dilogo se puede utilizar para buscar la siguiente o la anterior paquete marcado. Edit: Marque todos los paquetes Edit: Desmarcar todos los paquetes Marcar / desmarcar todos los paquetes que se muestran actualmente. Editar: Preferencias Configure las opciones de interfaz grfica de usuario, captura, impresin y protocolo (vase Preferencias dilogo de ms abajo). Vista: Barra de herramientas principal Vista: Filtro Toolbar Vista: Barra de estado Mostrar u ocultar los controles de la ventana principal. Ver: Paquete Lista: Detalles del paquete Vista: Bytes de paquetes Mostrar u ocultar los principales cristales de las ventanas. Vista: Hora Formato de pantalla Ajuste el formato de la fecha y hora de paquetes se muestra en la ventana de la lista de paquetes. Nombre Resolve: Ver: Resolucin de nombres Trate de resolver un nombre para el elemento actualmente seleted. Ver: Resolucin de nombres: Habilitar para ... Capa Habilitar o deshabilitar la traduccin de direcciones a nombres en la pantalla. Ver: Colorear Lista de paquetes 181

Traducido por Sykrayo Espaa

Activar o desactivar las reglas para colorear. Desactivacin mejorar el rendimiento. Vista: Desplazamiento automtico de captura en vivo Activar o desactivar el desplazamiento automtico de la lista de paquetes, mientras que la captura automtica en curso. Vista: Acercar Vista: Acercar Zoom en / fuera de los principales datos de la ventana (al cambiar el tamao de fuente). Vista: tamao normal Restablecer el factor de zoom del zoom in / zoom out volver al tamao normal de letra.

182

Traducido por Sykrayo Espaa

Ver: Cambiar el tamao de todas las columnas Cambiar el tamao de todas las columnas para adaptarse mejor a la pantalla del paquete actual. Ver: Ampliar Subtrees Expande el elemento seleccionado en ese momento y es subrboles en los detalles del paquete. Ver: Desplegar todo Ver: Collapse All Expandir / Contraer todas las ramas de los detalles del paquete. Vista: Reglas para colorear Cambie los colores frontal y de fondo de la informacin del paquete en la lista de paquetes, en base a filtros de visualizacin. La lista de filtros de visualizacin se aplica a cada paquete de forma secuencial. Despus del primer filtro de presentacin coincide con un paquete, se ignoran los filtros de visualizacin adicionales en la lista. Por lo tanto, si usted est filtrando en la existencia de protocolos, que debe enumerar los protocolos de alto nivel primero, y los protocolos de nivel inferior anterior. Cmo funciona Colorization Los paquetes son de color de acuerdo a una lista de filtros de color. Cada filtro consiste en un nombre, una expresin de filtro y una coloracin. Un paquete es de color de acuerdo con el primer filtro que coincida, expresiones de filtro de color utilizan exactamente la misma sintaxis que las expresiones de filtro de visualizacin. Cuando se inicia Ethereal, los filtros de color se cargan desde: 1. Color filtros archivo personal del usuario o, si eso no existe, 2. El archivo de filtros de color global. Si ninguno de ellos existe, entonces los paquetes no sern de color. Ver: Mostrar Packet En una nueva ventana Crear una nueva ventana con una vista de detalles de paquetes y una ventana de volcado hexadecimal del paquete seleccionado, esta ventana se seguir mostrando detalles y datos de ese paquete, incluso si se selecciona otro paquete. Ver: Actualizar Actualizar un archivo de captura. Igual que el del archivo: Cierre y archivo: Abra el mismo archivo. Go: Volver Retrocede en el historial de paquetes previamente visitados. Ir: Delantero Avanzar en visitada anteriormente historia paquetes. Go: Ir a Packet Ir a un paquete numerado particular. Go: Ir a paquete correspondiente Si se selecciona un campo en el panel de detalles de paquetes que contiene una serie de paquetes, visite el nmero de paquete especificado por ese campo. (Esto slo funciona si el disector que puso que la entrada en los detalles del paquete puso en los detalles como un campo filtrable en lugar de slo como texto.) Esto se puede utilizar, por ejemplo, para ir a el paquete de solicitud correspondiente a una responder, o la respuesta correspondiente a una solicitud, si ese nmero de paquetes se ha puesto en los detalles del paquete. Go: First Packet Go: ltima Packet Ir al primer / ltimo paquete en la captura. Captura: Interfaces 183

Traducido por Sykrayo Espaa

Muestra un cuadro de dilogo con todas las interfaces conocidas en la actualidad y que muestran la cantidad actual de trfico de la red. Sesiones de captura se pueden iniciar desde aqu. Cuidado: mantener este cuadro los resultados abiertos en la alta carga de sistema! Captura: Opciones Inicie una captura de paquetes en directo (vase Opciones de captura dilogo de ms abajo). Si no se especifica ningn nombre de archivo, se crear un archivo temporal para guardar la captura. La ubicacin del archivo se puede elegir mediante el establecimiento de la variable de entorno TMPDIR antes de comenzar Ethereal. De lo contrario, la ubicacin TMPDIR predeterminado depende del sistema, pero es probable que sea / var / tmp o / tmp. Captura: Inicio Inicie una captura de paquetes en vivo con las opciones ya seleted. Esto no va a abrir el cuadro de dilogo de opciones, y puede ser conveniente para repetidamente el capturar con las mismas opciones. Captura: Detener Detener la captura en vivo corriente. Captura: Reiniciar Mientras que una captura en vivo se est ejecutando, detenga y reinicie con las mismas opciones de nuevo. Esto puede ser conveniente quitar paquetes unrelevant, si hay paquetes valiosos fueron capturados hasta el momento. Captura: Filtros de captura Editar la lista guardada de filtros de captura, permitiendo filtros que se aaden, cambian o eliminan. Analizar: Mostrar Filtros Editar la lista guardada de filtros de visualizacin, permitiendo filtros que se aaden, cambian o eliminan. Analizar: Aplicar como filtro Crear un filtro de pantalla, o aadir a la tira de filtro de visualizacin en la parte inferior, un filtro de pantalla basado en los datos que actualmente se destacan en los detalles Packe, y aplicar el filtro. Si esos datos es un campo que se puede probar en una expresin de filtro de pantalla, el filtro de pantalla se prueba que el campo, de lo contrario, el filtro de visualizacin se basa en absoluto compensado dentro del paquete, por lo que podra no ser fiable si el paquete contiene protocolos con encabezados de longitud variable, como por ejemplo un paquete de red en anillo fuente de enrutado. La opcin seleccionada se crea un filtro para mostrar que las pruebas para un partido de los datos, la opcin No Seleccionado crea un filtro de presentacin que las pruebas de una no coincidencia de los datos. El y seleccionado o seleccionados y no seleccionados, y Or Not opciones seleccionadas se suman a la final del filtro de presentacin de la banda en la parte inferior de un operador AND u OR seguido de la nueva expresin de filtro de visualizacin. Analizar: Preparar un filtro Crear un filtro de pantalla, o aadir a la tira de filtro de visualizacin en la parte inferior, un filtro de pantalla basado en los datos que actualmente se destacan en los detalles del paquete, pero no se aplica el filtro. Analizar: Protocolos habilitados Permitir diseccin protocolo para ser activado o desactivado para un protocolo especfico. Protocolos individuales se pueden activar o desactivar haciendo clic en ellas en la lista o seleccionndolos y presionando la barra espaciadora. La lista completa se puede activar, desactivar o invertida con los botones debajo de la lista. Cuando un protocolo est desactivado, la diseccin en un paquete en particular detiene cuando se llega a ese protocolo, y se mueve etreos en el siguiente paquete. No se muestran todos los 184

Traducido por Sykrayo Espaa

protocolos de capas superiores que de otra manera se han procesado. Por ejemplo, la desactivacin de TCP evitar que la diseccin y la visualizacin de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende exclusivamente de TCP. La lista de protocolos se puede guardar, para que Ethereal se iniciar con los protocolos de esa lista de lesionados.

185

Traducido por Sykrayo Espaa

Analizar: Decodificar Como Si usted tiene un paquete seleccionado, presentar un cuadro de dilogo que le permite cambiar dissectors que se utilizan para decodificar este paquete. El dilogo tiene un panel para cada uno de la capa de enlace, capa de red y de transporte protocolo de capa / nmeros de puerto, y permitir a cada uno de estos para ser cambiado de forma independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP con el puerto 12345, el uso de este cuadro de dilogo puede indicar a etreo para decodificar todos los paquetes hacia o desde que el puerto TCP como paquetes HTTP. Analizar: El usuario especificado Decodifica Crear una nueva ventana que muestra si una ID de protocolo de asignaciones disector de haber sido modificada por el usuario. Esta ventana tambin permite al usuario restablecer todos decodifica a sus valores predeterminados. Analizar: Seguir flujo TCP Si usted tiene un paquete TCP seleccionado, mostrar el contenido de la secuencia de datos para la conexin TCP al que pertenece ese paquete, como texto, en una ventana separada, y salir de la lista de paquetes en un estado filtrado, slo con los paquetes que son parte de conexin TCP que se est visualizando. Puede volver a su viejo vista presionando ENTRAR en el cuadro de texto del filtro de visualizacin, invocando as su filtro de visualizacin de edad (o reiniciarlo de nuevo a ningn filtro de pantalla). La ventana en la que se muestra el flujo de datos le permite seleccionar:

si se muestra toda la conversacin, o uno o el otro lado de la misma; si los datos que se muestran es a ser tratados como texto ASCII o EBCDIC o datos hexadecimales como primas;

y le permite imprimir lo que se est visualizando en ese momento, con las mismas opciones de impresin que se utilizan para la Archivo: Imprimir Packet elemento del men, o guardarlo como texto en un archivo. Estadsticas: Resumen Mostrar informacin de resumen acerca de la captura, incluyendo el tiempo transcurrido, los recuentos de paquetes, cuentas de bytes, y similares. Si un filtro de presentacin es, en efecto, la informacin de resumen se mostrar sobre la captura y el sobre est mostrando los paquetes. Estadsticas: Jerarqua Protocolo Mostrar el nmero de paquetes, y el nmero de bytes en los paquetes, para cada protocolo en la traza. Se organiza los protocolos en la misma jerarqua en el que se encontraron en la traza. Adems de contar con los paquetes en los que existe el protocolo, el recuento se hace tambin para los paquetes en los que el protocolo es el ltimo protocolo de la pila. Estos recuentos ltima-protocolo que muestran cuntos paquetes (Y el nmero de bytes asociado con los paquetes) termin en un protocolo particular. En la tabla, se enumeran en `` paquetes extremo'' y `` Bytes End''. Estadsticas: IO Grficos Abra una ventana donde hasta 5 grficos en diferentes colores se pueden mostrar para indicar el nmero de paquetes o el nmero de bytes por segundo para todos los paquetes que coincidan con el filtro especificado. Por defecto slo se muestra un grfico que muestra el nmero de paquetes por segundo. La parte superior de la ventana contiene los grficos y escalas de los ejes X e Y. Si el grfico es demasiado largo para caber dentro de la ventana hay una barra de desplazamiento horizontal por debajo del rea de dibujo que pueden desplazarse los grficos a la izquierda oa la derecha. El eje

186

Traducido por Sykrayo Espaa

horizontal muestra el tiempo en la captura y el eje vertical muestra la cantidad medida en ese momento. A continuacin el rea de dibujo y la barra de desplazamiento son los controles. En la parte inferior izquierda habr cinco conjuntos similares de control para controlar cada grfico induvidual como `` Display: <button>'' qu botn se alternar ese grfico individuales de encendido / apagado. Si est marcada <button>, se mostrar el grfico. `` Color: <color>'', que es slo un botn para mostrar que el color se utiliza para dibujar ese grfico (color es

187

Traducido por Sykrayo Espaa

slo est disponible en Gtk2 versin) y, finalmente, `` Filtro: <filter-text>'' que se puede utilizar para especificar un filtro de pantalla para ese grfico en particular. Si el filtro de texto est vaco, se utilizarn todos los paquetes para calcular la cantidad de ese grfico. Si se especifica el filtro de texto solamente aquellos paquetes que coincida con ese filtro de visualizacin se considerar en el clculo de la cantidad. A la derecha de los controles 5 grfico hay cuatro mens para controlar los aspectos globales de la zona de dibujo y grficos. El `` unidad: men'' se utiliza para controlar qu medir, `` paquetes / garrapatas'', `` bytes / garrapatas'' o `` Avanzada ...'' paquetes / garrapata medir el nmero de paquetes que coincidan con el filtro de pantalla (si se especifica) para el grfico en cada intervalo de medicin. bytes / garrapata medir el nmero total de bytes en todos los paquetes que coincidan con el (si se especifica) de filtro para mostrar el grfico en cada intervalo de medicin. avanzado ... vase ms adelante `` Tick intervalo:'' especifica qu intervalos de medicin a utilizar. El valor predeterminado es 1 segundo y significa que los datos se contarn durante intervalos de 1 segundo. `` Pxeles por garrapatas:'' especifica el nmero de pxeles de ancho cada intervalo de medicin ser en el rea de dibujo. El valor predeterminado es 5 pxeles por garrapata. `` Y-escala:'' controla el valor mximo para el eje y. El valor por defecto es `` auto'', que significa que Ethereal tratar de ajustar el maxvalue automticamente. `` Avanzada ...'' Si la unidad: avanzado ... se selecciona la ventana mostrar dos controles ms para cada uno de los cinco grficos. Un control ser un men en el que el tipo de clculo se puede seleccionar de SUM, COUNT, MAX, MIN, AVG y la carga, y uno de control, cuadro de texto, donde se puede especificar el nombre de un campo de filtro de visualizacin. Las siguientes restricciones se aplican a las combinaciones de tipo y mbito: SUM: disponible para todos los tipos de nmeros enteros y calcular la suma de todas las ocurrencias de este campo en el intervalo de medicin. Tenga en cuenta que algn campo puede aparecer varias veces en el mismo paquete y luego todos los casos se resume. Ejemplo: 'tcp.len' que contar la cantidad de carga til de datos transferidos a travs de TCP en cada intervalo. COUNT: disponible para todos los tipos de campo. Este contar el nmero de veces determinado campo ocurre en cada intervalo. Tenga en cuenta que puede haber algunos campos varias veces en cada paquete y si ese es el caso, entonces cada instancia se contar de forma independiente y el recuento ser mayor que el nmero de paquetes. MAX: disponible para todos los campos de tiempo entero y relativa. Esto calcular el valor entero / hora max visto visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo mximo de respuesta SMB. 188

Traducido por Sykrayo Espaa

MIN: disponible para todos los campos de tiempo entero y relativa. Esto calcular el min visto entero valor / hora visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo mnimo de respuesta SMB. AVG: disponible para todos fields.This tiempo entero como relativos calcular el valor entero / hora visto media visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo medio de respuesta SMB. CARGA: disponible slo para campos de hora relativos (tiempo de respuesta). Ejemplo de tecnologas avanzadas: muestra cmo el tiempo de respuesta de MAX / MIN / AVG cambios NFS a travs del tiempo: Ajuste primero el grfico a:
Filtro: nfs && rpc.time Calc: MAX rpc.time

Establecer segundo grfico de


Filtro: nfs && rpc.time Calc: AVG rpc.time

Establecer tercera grfica para


Filtro: nfs && rpc.time Calc: MIN rpc.time

Ejemplo de tecnologas avanzadas: muestra cmo el tamao medio de los paquetes desde el host abcd cambios en el tiempo. Ajuste primero el grfico a
Filtro: ip.addr == && a.b.c.d frame.pkt_len Calc: AVG frame.pkt_len

CARGA: La carga tipo io-stat es muy diferente de cualquier cosa que hayas visto antes! Mientras que los tiempos de respuesta de s mismos como trazados por el MIN, MAX, AVG son indicaciones sobre la carga del servidor (que afecta al tiempo de respuesta del servidor), las medidas de medicin de la carga de la carga del cliente. Lo que esta medida es la cantidad de carga de trabajo genera el cliente, es decir, la rapidez con que el problema del cliente nuevos comandos cuando los anteriores completado. es decir, el nivel de concurrencia, el cliente puede mantener. Cuanto mayor sea el nmero, ms y ms rpido es el cliente de la emisin de nuevos comandos. Cuando la carga se cae, puede ser debido a la carga de cliente que realiza el cliente ms lento en la emisin de nuevas rdenes (puede haber otras razones tambin, tal vez el cliente simplemente no tiene ningn comando que quiere emitir en ese momento). La carga se mide en concurrencia / nmero de superposicin de E / S y el valor de 1000 significa que hay una carga constante de i / o. En cada intervalo de garrapata se mide la cantidad de superposicin. Ver el siguiente grfico 189

Traducido por Sykrayo Espaa

que contiene tres comandos: Debajo del grfico se muestran los valores de carga para cada intervalo que se calcula.
| | | | | | | | | | | | | | | | | |

190

Traducido por Sykrayo Espaa

| | O ===== * | | | | | | | | | | | | | | | | o ======== * | o ============ | | | | | | | * | | | | | -------------------------------------------------- > Tiempo 5001500500750100050000

Estadsticas: lista de conversaciones Esta opcin se abrir una nueva ventana que muestra una lista de todas las conversaciones entre los dos puntos finales. La lista tiene una fila para cada conversacin nica y muestra el nmero total de paquetes / bytes visto, as como el nmero de paquetes / bytes en cada direccin. Por defecto, la lista se ordena segn el nmero de paquetes, pero haciendo clic en el encabezado de la columna; es posible volver a ordenar la lista en orden ascendente o descendente por cualquier columna. Al seleccionar primero una conversacin haciendo clic en l y luego con el botn derecho del ratn (en aquellas plataformas que tienen un botn derecho del ratn) etrea mostrar un men emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estas ventanas estadsticas tambin se puede invocar desde la lnea de comandos utilizando el Ethereal-z conv argumento. Estadsticas: Servicio Tiempo de respuesta: DCE-RPC Abra una ventana para mostrar las estadsticas de servicios de tiempo de respuesta para una interfaz arbitraria DCE-RPC programa y procedimiento de visualizacin, Nmero de Llamadas, SRT mnimo, mximo y promedio SRT SRT para todos los procedimientos para que el programa / version. Estas ventanas abiertas se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Este dilogo permitir tambin una cadena de filtro opcional que se utilizar. Si se utiliza una cadena de filtro opcional slo tales pares de solicitud / respuesta del DCE-RPC que coincidan con filtro que se utilizarn para calcular las estadsticas. Si no se especifica ninguna cadena de filtro se utilizarn todos los pares de solicitud / respuesta. Estadsticas: Servicio Tiempo de respuesta: canal de fibra Abra una ventana para mostrar las estadsticas de servicios de tiempo de respuesta para Fibre Channel y mostrar FC tipo, nmero de llamadas, SRT mnimo, mximo y promedio SRT SRT para todo tipo de FC. Estas ventanas abiertas se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre el primer paquete de la bolsa y el ltimo paquete del intercambio. Este dilogo permitir tambin una cadena de filtro opcional que se utilizar. Si una cadena de filtro opcional se utiliza nicamente los primeros / ltimos pares de cambio FC que coincida con el filtro se usar para calcular las estadsticas. Si no se especifica ninguna cadena de filtro se utilizarn todos los pares de solicitud / respuesta. Estadsticas: Servicio Tiempo de respuesta: ONC-RPC Abra una ventana para mostrar las estadsticas de una interfaz arbitraria ONC RPC-programa y del Procedimiento pantalla, nmero de llamadas, SRT mnimo, mximo y promedio SRT SRT para todos los procedimientos para que el programa / version. Estas ventanas abiertas se actualizar en 191

Traducido por Sykrayo Espaa

tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Este dilogo permitir tambin una cadena de filtro opcional que se utilizar. Si una cadena de filtro opcional slo se utiliza tales pares de solicitud / respuesta de ONC-RPC que coincidan con filtro que se utilizarn para calcular las estadsticas. Si no se especifica ninguna cadena de filtro se utilizarn todos los pares de solicitud / respuesta.

192

Traducido por Sykrayo Espaa

Al seleccionar primero una conversacin haciendo clic en l y luego con el botn derecho del ratn (en aquellas plataformas que tienen un botn derecho del ratn) etrea mostrar un men emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estadsticas: Tiempo de respuesta: Servicio SMB Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para SMB. Los datos recogidos es el nmero de convocatorias de cada comando SMB, MinSRT, MaxSRT y AvgSRT. Los datos se presentarn en forma de tablas separadas para todos los comandos SMB normales, todos los comandos Transaction2 y todos los comandos de transaccin NT. Slo los comandos que se ven en la captura tendr sus estadsticas muestran. Slo el primer comando en una cadena de mando xAndX se utiliza en el clculo. As que para las cadenas de SessionSetupAndX + TreeConnectAndX comunes, slo la llamada SessionSetupAndX se utilizar en las estadsticas. Este es un defecto que podra ser corregido en el futuro. Puede aplicar una cadena de filtro opcional en un cuadro de dilogo, antes de iniciar el clculo. Las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Al seleccionar primero una conversacin haciendo clic en l y luego con el botn derecho del ratn (en aquellas plataformas que tienen un botn derecho del ratn) etrea mostrar un men emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estadsticas: Tiempo de respuesta: Servicio MGCP Recoger peticiones / data SRT (Servicio Tiempo de respuesta) para MGCP respuesta. Los datos recogidos es el nmero de llamadas para cada tipo conocido MGCP, SRT Mnimo, Mximo SRT, SRT media, mnima en paquetes, y mxima en paquetes. Estas ventanas abiertas se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de dilogo, antes de iniciar el clculo. Las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Estadsticas: Servicio Tiempo de respuesta: UIT-T H.225 RAS Recoger peticiones / data SRT (Servicio Tiempo de respuesta) de la UIT-T H.225 RAS respuesta. Los datos recogidos es el nmero de llamadas para cada conocido UIT-T H.225 RAS Tipo de mensaje, SRT Mnimo, Mximo SRT, SRT media, mnima en paquetes, y mxima en paquetes. Tambin recibir el nmero de solicitudes pendientes (Unresponded solicitudes), Respuestas desechados (Respuestas sin juego peticin) y Duplicate Messages. Estas ventanas abiertas se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de dilogo, antes de iniciar el clculo. Las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Estadsticas: UIT-T H.225 Cuente UIT-T H.225 mensajes y sus razones. En la primera columna se obtiene una lista de mensajes H.225 y H.225 razones de mensaje, que se producen en el archivo de captura actual. El nmero de ocurrencias de cada mensaje o la razn se muestra en la segunda columna. Esta ventana abierta se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. 193

Traducido por Sykrayo Espaa

Puede aplicar una cadena de filtro opcional en un cuadro de dilogo, antes de iniciar el contador. Las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro.

194

Traducido por Sykrayo Espaa

Estadsticas: SIP Activar un contador de mensajes SIP. Usted recibir el nmero de ocurrencias de cada mtodo SIP y SIP de cada Estado-Code. Adems, usted tambin consigue el nmero de resentir mensajes SIP (slo para SIP sobre UDP). Esta ventana abierta se actualizar en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de dilogo, antes de iniciar el contador. Las estadsticas slo se calcularn sobre las llamadas que coincidan con ese filtro. Estadsticas: Programas de ONC-RPC Este cuadro de dilogo se abrir una ventana que muestra las estadsticas RTT agregados para todos los programas / versiones ONC-RPC que existen en el archivo de captura. Ayuda: Contenido Algunos textos de ayuda. Ayuda: Protocolos Lista de los protocolos soportados y los campos de protocolo de filtro de visualizacin. Ayuda: Pginas de Manual Mostrar localmente versiones HTML instalados de estas pginas de manual en un navegador web. Ayuda: Ethereal Online Varios enlaces a recursos en lnea para ser abierta en un navegador web, como http://www.ethereal.com. Ayuda: Acerca de Ethereal Ver informacin variada sobre Ethereal (ver Acerca de dilogo de abajo), como la versin, las carpetas se utiliza, los plugins disponibles, ...

VENTANAS

Ventana Principal La ventana principal contiene las cosas habituales, como el men, algunas barras de herramientas, el rea principal y una barra de estado. El rea principal se divide en tres paneles, se puede cambiar el tamao de cada panel con un ``'' pulgar en el extremo derecho de cada lnea divisora. La ventana principal es mucho ms flexible que antes. El diseo de la ventana principal se puede personalizar la pgina de diseo en el cuadro de dilogo aparecido por Edit: Preferencias, el siguiente se describen el diseo con la configuracin predeterminada. Barra de herramientas principal Algunas opciones de men estn disponibles para el acceso rpido aqu. No hay forma de personalizar los elementos de la barra de herramientas, sin embargo, la barra de herramientas se puede ocultar Vista: Barra de herramientas principal. Filtrar Toolbar Un filtro de pantalla se pueden introducir en la barra de herramientas de filtro. Un filtro para HTTP, HTTPS, y el trfico DNS podra tener este aspecto:
tcp.port == 80 | | tcp.port == 443 | | tcp.port == 53

Seleccin del Filtro: botn le permite elegir de una lista de filtros con nombre que se pueden guardar 195

Traducido por Sykrayo Espaa

opcionalmente. Al pulsar el Retorno o Intro o seleccionando el botn Aplicar, har que el filtro que se aplicar a

196

Traducido por Sykrayo Espaa

la lista actual de los paquetes. Al seleccionar el botn Restablecer elimina el filtro de pantalla para que se muestren todos los paquetes (de nuevo). No hay manera de personalizar los elementos en la barra de herramientas, sin embargo, la barra de herramientas se puede ocultar Ver: Barra de herramientas de filtro. Panel Lista de paquetes El panel superior contiene la lista de los paquetes de red que puede desplazarse y seleccionar. Por defecto, el nmero de paquete, paquete de marca de hora, origen y destino, protocolo, y la descripcin se muestran para cada paquete, la pgina Columnas del cuadro de dilogo apareci por Edit: Preferencias le permite cambiar esto (aunque, por desgracia, que tiene actualmente para guardar las preferencias y salir y reiniciar Ethereal, para que los cambios surtan efecto). Si hace clic en el encabezado de una columna, en la pantalla se puede ordenar por esa columna, al hacer clic en el ttulo volver a invertir el orden de esa columna. Se hace un esfuerzo para mostrar la informacin lo ms alto de la pila de protocolos como sea posible, por ejemplo, Las direcciones IP se muestran para los paquetes IP, pero la direccin de capa MAC se muestra para los tipos de paquetes desconocidos. El botn derecho del ratn se puede usar para que aparezca un men de operaciones. El botn central del ratn se puede utilizar para marcar un paquete. Detalles del paquete Pane El panel central contiene una pantalla de los detalles del paquete seleccionado actualmente. La pantalla muestra cada campo y su valor en cada cabecera de protocolo en la pila. El botn derecho del ratn se puede usar para que aparezca un men de operaciones. Packet Bytes Pane El panel ms bajo contiene un volcado hexadecimal y ASCII de los paquetes de datos reales. Seleccin de un campo en los detalles del paquete se destacan los bytes correspondientes en esta seccin. El botn derecho del ratn se puede usar para que aparezca un men de operaciones. Barra de estado La barra de estado se divide en dos partes: a la izquierda se muestran algunas de las cosas que dependen del contexto, al igual que informacin sobre el archivo cargado, a la derecha se muestra el nmero de paquetes: P = Paquetes capturado / cargado, D = Se muestra en la lista de paquetes (despus de filtrar), M = Marcado por el usuario. La barra de estado se puede ocultar Vista: Barra de estado. Preferencias El dilogo de preferencias le permite controlar varias preferencias personales para el comportamiento de Ethereal. 197

Traducido por Sykrayo Espaa

Preferencias de la interfaz de usuario La pgina de la interfaz de usuario se utiliza para modificar pequeos aspectos de la interfaz grfica de usuario a su propio gusto personal: Barras de desplazamiento Las barras de desplazamiento vertical en los tres paneles se pueden configurar para que sea a la izquierda oa la derecha. Bares de seleccin La barra de seleccin en la lista de paquetes y detalles del paquete puede tener un `` navegar'' o `` select'' comportamiento. Si la barra de seleccin tiene un comportamiento `` navegar'', las teclas de direccin se movern un esbozo de la barra de seleccin, lo que le permite navegar por el resto de la lista o detalles sin cambiar la seleccin

198

Traducido por Sykrayo Espaa

hasta que se pulse la barra espaciadora. Si la barra de seleccin tiene un comportamiento `` select'', las teclas de direccin se mover la barra de seleccin y cambiar la seleccin para el nuevo elemento en la lista de paquetes o detalles del paquete. Tree Line Style Los rboles se pueden extraer sin lneas, lneas slidas o lneas de puntos entre los elementos, o se pueden extraer con ``'' Partidas ficha. rbol Expander Estilo El elemento de expansin que se puede hacer clic para mostrar u ocultar los elementos en virtud de un elemento del rbol se puede omitir (ntese que esto le impedir cambiar si esos elementos se muestran o se ocultan!), O se puede dibujar como cuadrados, tringulos o crculos. Display Hex El mtodo ms destacado en la pantalla de volcado hexadecimal para el elemento de protocolo seleccionado puede ser configurado para utilizar ya sea vdeo inverso, o caracteres en negrita. Guardar posicin de la ventana Si este elemento est seleccionado, la posicin de la ventana principal de Ethereal se guardar cuando sale Ethereal, y se utiliza cuando se inicia Ethereal nuevo. Save Window Size Si se selecciona este elemento, el tamao de la ventana principal de Ethereal se guardar cuando sale Ethereal, y se utiliza cuando se inicia Ethereal nuevo. Archivo Comportamiento de dilogo Abrir Esta opcin permite al usuario seleccionar la forma etrea se encarga de la lista del archivo `` Abrir'' dilogo al abrir archivos de rastreo. `` Recordar el ltimo directorio'' hace Ethereal para posicionar automticamente el cuadro de dilogo en el directorio del archivo abierto ms recientemente, incluso entre los lanzamientos de Ethereal. `` Siempre abierto en el directorio'' permite al usuario definir un directorio persistente que el dilogo siempre ser por defecto. Directorio Permite al usuario especificar un directorio Abrir archivo persistente. Se aadirn automticamente barras o barras diagonales inversas. Preferencias de diseo La pgina de diseo le permite especificar el diseo general de la ventana principal. Usted puede elegir entre seis diseos diferentes y llenar los tres paneles con el contenido que usted tiene gusto. Preferencias de columna La pgina Columnas le permite especificar el nmero, ttulo y formato de cada columna de la lista de paquetes. La entrada de ttulo de columna se utiliza para especificar el ttulo de la columna que aparece en la parte superior de la lista de paquetes. El tipo de datos que muestra las columnas se pueden especificar usando el men de opciones de formato de columna. La fila de botones a la izquierda realizar las siguientes acciones: Nuevo Agrega una nueva columna a la lista. Borrar Elimina el elemento de lista seleccionado actualmente. Arriba / Abajo Mueve el elemento de la lista seleccionado hacia arriba o hacia abajo una posicin. Preferencias de fuentes La pgina de Fuente permite seleccionar el tipo de letra que se utilizar para la mayora del texto. Preferencias de colores La pgina de colores se puede utilizar para cambiar el color del texto que aparece en la ventana de 199

Traducido por Sykrayo Espaa

flujo de TCP y los paquetes marcados. Para cambiar un color, slo tiene que seleccionar un atributo de la `` Set: Men'' y utilizar el selector de color para obtener el color deseado. Los nuevos colores de texto se muestran en forma de texto de ejemplo. Captura Preferencias

200

Traducido por Sykrayo Espaa

La pgina de Capture le permite especificar diversos parmetros para la captura de paquetes de datos en vivo, los cuales se utilizan por primera vez una captura se inicia. La interfaz: cuadro combinado le permite especificar la interfaz desde la que capturar paquetes de datos, o el nombre de un FIFO desde el que obtener los datos del paquete. El tipo de enlace de datos: men de opciones permite, por algunas interfaces, seleccione el encabezado de enlace de datos que desea ver en los paquetes que se capturan. Por ejemplo, en algunos sistemas operativos y con algunas versiones de libpcap, puede elegir, en una interfaz 802.11, si los paquetes deben aparecer en forma de paquetes de Ethernet (con una cabecera Ethernet falso) o 802.11 paquetes. El lmite de cada paquete de ... bytes casilla de verificacin le permite ajustar la longitud instantnea usar al capturar datos en tiempo real, activa la casilla de verificacin y, a continuacin, establecer el nmero de bytes que se utiliza como la longitud instantnea. El Filtro: entrada de texto le permite definir una expresin de filtro de captura para ser utilizado en la captura. Si alguna de las variables de entorno SSH_CONNECTION, SSH_CLIENT, REMOTEHOST, DISPLAY o CLIENTNAME se establecen, Ethereal crear un filtro de captura por defecto, que excluye el trfico de los hosts y los puertos definidos en esas variables. Los paquetes de captura en modo promiscuo casilla le permite especificar si poner la interfaz en modo promiscuo en la captura. La lista de actualizaciones de paquetes en casilla de verificacin en tiempo real le permite especificar que la pantalla debe actualizarse en forma de paquetes se ven. El desplazamiento automtico en la casilla de verificacin captura en vivo le permite especificar si, en una lista de `` actualizacin de paquetes en tiempo real'' de captura, el panel de la lista de paquetes debe desplazarse de forma automtica para mostrar los paquetes ms recientemente capturados. Preferencias de impresin Los botones en la parte superior de la pgina de impresin le permiten elegir entre imprimir paquetes con el Archivo: Imprimir del men Packet como texto o PostScript, y enviar la salida directamente a un comando o guardarlo en un archivo. El Comando: cuadro de texto, en los sistemas compatibles con UNIX, es el comando para enviar archivos (generalmente lpr) y la del archivo: caja de entrada le permite introducir el nombre del archivo que desea guardar a. Adems, puede seleccionar el archivo: botn para examinar el sistema de archivos de un archivo de salvar particular. Preferencias del Protocolo Tambin hay pginas para diversos protocolos que disecciona Etreo, que controlan la forma en que maneja los protocolos Ethereal. Editar Captura Lista Edit Filter Display Filter Filtro de captura lista Mostrar Filtrar Leer 201

Traducido por Sykrayo Espaa

Filter Filtro de bsqueda El cuadro de dilogo Lista de filtros Capture Edit le permite crear, modificar y eliminar filtros de captura y la edicin Mostrar lista de filtros de dilogo le permite crear, modificar y eliminar filtros de visualizacin. El cuadro de dilogo Filtro de captura le permite realizar todas las operaciones de edicin de la lista, y tambin le permite elegir o construir un filtro para ser utilizado en la captura de paquetes.

202

Traducido por Sykrayo Espaa

El cuadro de dilogo Filtro de presentacin le permite realizar todas las operaciones de edicin de la lista, y tambin le permite elegir o construir un filtro que se utilizar para filtrar la captura actual se est viendo. El dilogo Filtro Lee le permite realizar todas las operaciones de edicin de la lista, y tambin le permite elegir o construir un filtro para ser utilizado como un filtro de lectura de un archivo de captura se abre. El dilogo Filtro de bsqueda le permite realizar todas las operaciones de edicin de la lista, y tambin le permite elegir o construir una expresin de filtro para ser utilizado en una operacin de bsqueda. En todos los cuadros de dilogo, la entrada del nombre de filtro especifica un nombre descriptivo para un filtro, por ejemplo, Web y el trfico DNS. La entrada de la cadena de filtro es el texto que describe la realidad de la accin de filtrado para tomar, como se describe botones del dilogo anteriormente.El realizan las siguientes acciones: Nuevo Si no hay texto en las dos casillas de entrada, crea un nuevo elemento de la lista correspondiente. Editar Modifica el elemento de la lista seleccionado para que coincida con lo que est en los cuadros de entrada. Borrar Elimina el elemento de lista seleccionado actualmente. Agregar expresin ... Para las expresiones de filtro de la pantalla, aparece un cuadro de dilogo que le permite construir una expresin de filtro para poner a prueba un campo en particular, sino que ofrece listas de los nombres de los campos, y en su caso, las listas de las cuales seleccionar las pruebas a realizar en el campo y los valores con para compararlo. En ese cuadro de dilogo, el botn OK har que la expresin de filtro que construiste a suscribir entre la entrada de la cadena de filtro en la posicin actual del cursor. Bueno En el cuadro de dilogo Filtro de captura, se cierra el cuadro de dilogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de dilogo Preferencias de captura. En el cuadro de dilogo Filtro de presentacin, se cierra el cuadro de dilogo y hace que el filtro en la entrada de la cadena de filtro del filtro de pantalla actual, y la aplica a la corriente capturar. En el cuadro de dilogo Filtro Read, cierra el cuadro de dilogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de dilogo Abrir archivo de captura. En el cuadro de dilogo Filtro de bsqueda, se cierra el cuadro de dilogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de dilogo Buscar Paquete. Aplicar Hace que el filtro en la entrada de la cadena de filtro del filtro de pantalla actual, y la aplica a la toma de corriente. Guardar Si la lista de filtros que se estn editando la lista de filtros de captura, guarda la lista de filtro actual en el fichero de filtros de captura de personal, y si la lista de filtros que se estn editando la lista de filtros de visualizacin, guarda la lista de filtros de corriente a la pantalla personal archivo de filtros. Cerrar Cierra el dilogo sin hacer nada con el filtro en la entrada de la cadena de filtros. El color de los filtros de dilogo Este cuadro de dilogo muestra una lista de filtros de color y permite su modificacin. 203

Traducido por Sykrayo Espaa

La lista de filtros Filas individuales pueden seleccionarse haciendo clic en. Varias filas se pueden seleccionar mediante las teclas Ctrl y Shift en combinacin con el botn del ratn. NUEVO Aade un nuevo filtro en la parte inferior de la lista y se abre el cuadro de dilogo Editar filtro de color. Usted tendr para alterar la expresin de filtro por lo menos antes de que se acepte el filtro. El formato de las expresiones de filtro de color es idntica a la de filtros de visualizacin. Se selecciona el nuevo filtro, lo que puede ser inmediatamente

204

Traducido por Sykrayo Espaa

movido hacia arriba y hacia abajo, eliminado o editado. Para evitar confusiones, todos los filtros no se seleccionan antes de crear el nuevo filtro. EDIT Se abre el cuadro de dilogo Editar filtro de color para el filtro seleccionado. (Si este botn est desactivado es posible que tenga ms de un filtro seleccionado, por lo que es ambiguo, que se va a editar.) BORRAR Elimina el filtro de color seleccionado (s). EXPORTACIN Le permite seleccionar un archivo en el que guardar la lista actual de los filtros de color. Tambin puede optar por guardar slo los filtros seleccionados. Se proporciona un botn para guardar los filtros en el archivo global filtros de color (debe tener permisos suficientes para escribir el archivo, por supuesto). IMPORTACIN Le permite elegir un archivo que contiene filtros de color que luego se agregan al final de la lista actual. Todos los filtros aadidos se seleccionan, por lo que se pueden mover a la posicin correcta en la lista como un grupo. Para evitar cualquier confusin, todos los filtros no se seleccionan antes de que se importen los nuevos filtros. Se proporciona un botn para cargar los filtros de archivo global filtros de color. CLEAR Borra el archivo de filtros de color personal, vuelve a cargar el archivo global filtros de color, en su caso, y se cierra el cuadro de dilogo. ARRIBA Mueve el seleccionado filtro (s) la lista, por lo que es ms probable que se van a utilizar a los paquetes de color. ABAJO Mueve el seleccionado filtro (s) abajo en la lista, por lo que es menos probable que se van a utilizar a los paquetes de color. Bueno Cierra el dilogo y utiliza los filtros de color en su forma actual. APLICAR Colores de los paquetes de acuerdo con la lista de filtros de color, pero no cerrar el dilogo. SAVE Guarda la lista actual de los filtros de color en el archivo de filtros de color personal. A menos que hagas esto, no se utilizar la prxima vez que se inicia Ethereal. CIERRE Cierra el dilogo sin cambiar la coloracin de los paquetes. Tenga en cuenta que los cambios realizados en la lista actual de los filtros de color no se deshacen. Opciones de captura El cuadro de dilogo Opciones de captura le permite especificar diversos parmetros para la captura de paquetes de datos en vivo. La interfaz: campo le permite especificar la interfaz desde la que capturar paquetes de datos o un comando desde el que obtener los paquetes de datos a travs de una tubera. La capa de texto de encabezado Enlace: campo le permite especificar las interfaces de enlace de capa de texto de cabecera. Este campo es generalmente desactivado, ya que la mayora de interfaz tiene un solo tipo de encabezado. Los paquetes de captura en modo promiscuo casilla le permite especificar si la interfaz se debe 205

Traducido por Sykrayo Espaa

poner en modo promiscuo en la captura. El lmite de cada paquete de ... casilla de verificacin bytes y el campo le permite especificar el nmero mximo de bytes por paquete para capturar y guardar, si la casilla de verificacin no est marcada, el lmite ser de 65.535 bytes.

206

Traducido por Sykrayo Espaa

El Filtro de captura: entrada le permite especificar el filtro de captura utilizando una cadena de filtro de estilo tcpdump como se describe anteriormente. El Archivo: entrada le permite especificar el archivo en el que capturan los paquetes se deben guardar, como en el Opciones de la impresora dilogo anterior. Si no se especifica, los paquetes capturados se pueden guardar en un archivo temporal; puede guardar los paquetes a un archivo con el archivo: Guardar como del men. La casilla de verificacin Usar varios archivos permite especificar que la captura debe realizarse en varios archivos ``'' Modo. Esta opcin est desactivada, si se comprueba la lista de actualizaciones de paquetes en opcin de tiempo real. El archivo siguiente todos los ... caja y campos megabyte (s) de verificacin le permite especificar que un cambio a un fichero siguiente debe hacer si se alcanza el tamao del archivo especificado. Tambin puede seleccionar la unidad appriate, pero ten en cuenta que el tamao del archivo tiene un mximo de 2 GB. La casilla est obligado a comprobar, como `` varios archivos'' modo requiere un tamao de archivo que se especifique. El archivo siguiente todos los ... caja y campos minuto (s) de verificacin le permite especificar que el cambio a un fichero siguiente debe hacerse despus de que haya transcurrido el tiempo especificado, incluso si no se alcanza el tamao de captura especificado. El buffer de anillo con ... campo de los archivos le permite especificar el nmero de archivos de una memoria cclica. Esta caracterstica capturar en el primer archivo de nuevo, despus se utilizara la cantidad especificada de archivos. La captura de parada despus de ... campo de los archivos le permite especificar el nmero de archivos de captura utilizados, hasta que se detiene la captura. La captura de parada despus de ... caja de paquete (s) de verificacin y de campo le permite especificar que Ethereal debera detener la captura despus de haber capturado un nmero de paquetes, si la casilla no est marcada, Ethereal no se detendr la captura de un nmero determinado de paquetes capturados. La captura de parada despus de ... cuadro megabyte (s) de verificacin de campo y le permite especificar que Ethereal debera detener la captura despus de que el archivo en el que los paquetes capturados se guardan crece tan grande o mayor que un nmero determinado de megabytes. Si la casilla no est marcada, Ethereal no se detendr la captura en algn archivo de captura (aunque el sistema operativo en el que est ejecutndose Ethereal o el espacio en disco disponible, an puede limitar el tamao mximo de un archivo de captura). Esta opcin est desactivada, si `` varios archivos'' modo se utiliza, La captura de parada despus de ... segunda casilla (s) y de campo le permite especificar que Ethereal debera detener la captura despus de que ha estado capturando a un nmero de segundos, si la casilla no est marcada, Ethereal no se detendr la captura despus de haber transcurrido un tiempo fijo. La lista de actualizaciones de paquetes en casilla de verificacin en tiempo real le permite especificar si la pantalla se actualizar en los paquetes son capturados y, si se especifica que, el desplazamiento automtico en la casilla de verificacin captura en vivo le permite especificar el

207

Traducido por Sykrayo Espaa

panel de la lista de paquetes debe desplazarse de forma automtica para mostrar los paquetes ms recientemente capturados como nuevos paquetes llegan. La resolucin de nombres Enable MAC, Activar la resolucin de nombres de red y activar el nombre de transporte resolucin casillas de verificacin le permiten especificar si las direcciones MAC, direcciones de red y nmeros de puerto de la capa de transporte deben ser traducidos a los nombres. Acerc a de El dilogo Acerca permite ver informacin variada sobre Ethereal.

208

Traducido por Sykrayo Espaa

Acerca de: Ethereal La pgina de Ethereal le permite ver la informacin general sobre Ethereal, al igual que la versin instalada, la concesin de licencias de informacin y tal. Acerca de los autores: La pgina de los autores muestra el autor y todos los contribuyentes. Acerca de: Carpetas La pgina de carpetas le permite ver los nombres de los directorios donde se buscan Ethereal es varias configuraciones y otros archivos. About: plugins La pgina de plugins te permite ver los mdulos de plugin disector disponibles en el sistema. La Lista de Plugins muestra el nombre y la versin de cada mdulo plugin de disector encontrado en su sistema. Los plugins se busca en los siguientes directorios: el directorio lib / etrea / plugins / $ VERSION directorio bajo el directorio de instalacin principal (por ejemplo, / usr / local / lib / etreas / plugins / $ VERSION), / Usr / lib / etreas / plugins / $ VERSION, / Usr / local / lib / etrea / plugins / $ VERSION, y $ HOME / .ethereal / plugins en sistemas compatibles con UNIX, y en los plugins \ directorio $ VERSION bajo el directorio de instalacin principal (por ejemplo, C: \ Archivos de programa \ Ethereal \ plugins \ $ VERSION) y% APPDATA% \ Ethereal \ plugins \ $ VERSION (o, if% APPDATA% no est definido, % USERPROFILE% \ Application Data \ Ethereal \ plugins \ $ VERSION) en sistemas Windows; $ Versin es el nmero de versin de la interfaz de plugin, que suele ser el nmero de versin de Ethereal. Tenga en cuenta que un mdulo plug-in disector puede soportar ms de un protocolo, no existe necesariamente una relacin uno a uno entre los mdulos de plugin disector y protocolos. Protocolos soportados por un mdulo plug-in disector se activan y desactivan con la Editando: cuadro de dilogo Protocolos, as como protocolos integrados en Ethereal son. ARCHIVOS Estos archivos contienen varios valores de configuracin de Ethereal. Preferencias Los archivos de preferencias contiene configuraciones globales (el sistema) y la preferencia personal. Si existe el archivo de preferencias de todo el sistema, que se lee primero, reemplazando los valores por defecto. Si las preferencias personales presentan las salidas, que se lee a continuacin, sustituyendo estos valores (de nuevo). Nota: Si el indicador-o se utiliza la lnea de comandos, prevalecer sobre estos valores ni una sola vez ms. La configuracin de preferencias se encuentran en forma prefname: valor, uno por lnea, donde prefname es el nombre de la preferencia (que es el mismo nombre que aparece en el archivo de preferencias), y el valor es el valor al que debe ajustarse; se deja un espacio en blanco entre: y valor. Un valor de preferencia se puede continuar en las lneas siguientes al sangrado de las lneas de continuidad con el espacio en blanco. Un carcter # se inicia un comentario que se extiende hasta el final de la lnea. El archivo de preferencias globales se busca en el directorio etrea bajo la accin subdirectorio del directorio principal de instalacin (por ejemplo, / usr / local / share / etrea / preferences) en sistemas compatibles con UNIX y en el directorio de instalacin principal (por ejemplo, C: \ Archivos de programa \ \ Ethereal preferencias) en los sistemas Windows. El archivo de preferencias personales, se busca en $ HOME / .ethereal / preferencias en sistemas 209

Traducido por Sykrayo Espaa

compatibles con UNIX y% APPDATA% \ Ethereal \ preferencias (o, si es% APPDATA% no est definido, % USERPROFILE% \ Datos de programa \ \ Ethereal preferencias) en los sistemas Windows.

210

Traducido por Sykrayo Espaa

Nota: Cada vez que las preferencias se guardan utilizando el botn Guardar de la edicin: cuadro de dilogo Preferencias, el archivo de preferencias personales se sobrescribir con la nueva configuracin, la destruccin de los comentarios que figuraban en el expediente. Recient Los archivos recientes se almacenar la configuracin personal (en su mayora relacionados con e GUI) como el tamao de la ventana actual Ethereal. El archivo se guarda al salir del programa y lo ley al iniciar el programa automticamente (por lo tanto, los comentarios en este archivo se destruyen automticamente). Nota: Si el indicador-o se utiliza la lnea de comandos, prevalecer sobre estos valores. Las opciones de este archivo tiene el mismo formato que en los archivos de preferencias y el mismo directorio que el archivo de preferencias de personal se utiliza. Protocolos para minusvlidos (Enabled) El archivo disabled_protos contiene una lista de los protocolos que se han deshabilitado, por lo que sus dissectors nunca son llamados. El archivo contiene los nombres de protocolos, uno por lnea, donde el nombre del protocolo es el mismo nombre que se utiliza en un filtro de pantalla para el protocolo. Un carcter # se inicia un comentario que se extiende hasta el final de la lnea. Se utiliza el mismo directorio que el archivo de preferencias personales. Nota: Cada vez que la lista Protocolos deshabilitados se guarda mediante el botn Guardar de la Analizar: Cuadro de dilogo Protocolos habilitados, el archivo de protocolos de discapacitados se sobrescribir con la nueva configuracin, la destruccin de los comentarios que figuraban en el expediente. Resolucin de nombres (hosts) Si existe el archivo hosts personal, las entradas de ese archivo se utilizan para resolver las direcciones IPv4 e IPv6 antes de realizar cualquier otro intento para resolverlas. Ese archivo tiene la sintaxis del archivo hosts norma, cada lnea contiene una direccin IP y el nombre, separados por espacios en blanco. Se utiliza el mismo directorio que el archivo de preferencias personales. Resolucin de nombres (teres) Los archivos teres, se consulta para correlacionar direcciones de hardware de 6 bytes de nombres. En primer lugar el mundial teres archivo se trataba y si esa direccin no se encuentra all el personal se trat a continuacin. Cada lnea contiene una direccin de hardware y el nombre, separados por espacios en blanco. Los dgitos de la direccin de hardware estn separados por cualquiera de los dos puntos (:), un guin (-.) O un punto (.) Las siguientes tres lneas son lneas vlidas de un archivo de teres:
FF: FF: FF: FF: FF: ffBroadcast c0-00-ff-ff-ff-ffTR_broadcast 00.00.00.00.00.00Zero_broadcast

El archivo de teres mundial se busca en el directorio / etc en sistemas compatibles con UNIX y en el directorio principal de instalacin (por ejemplo, C: \ Archivos de programa \ Ethereal) en los sistemas Windows. El archivo de teres de personal se busca en el mismo directorio que el archivo de preferencias personales. 211

Traducido por Sykrayo Espaa

Resolucin de nombres (manuf) El archivo manuf se utiliza para que coincida con la parte de proveedor 3-byte de la direccin de hardware de 6 bytes con el nombre del fabricante, sino que tambin puede contener direcciones MAC conocidas y rangos de direcciones especificadas con una mscara de red. El formato del archivo es el mismo que el archivo teres, excepto que las entradas de la forma:
00:00:0 CCISCO

212

Traducido por Sykrayo Espaa

se puede proporcionar, con la OUI de 3 bytes y el nombre de un proveedor, y las entradas de la forma:
00-00-0C-07-AC/40All-HSRP-routers

se puede especificar, con una direccin MAC y una mscara que indica la cantidad de bits de la direccin debe coincidir. Trailing cero bytes puede ser omitida de los rangos de direcciones. Esa entrada, por ejemplo, coincidir con direcciones desde las 00-00-0C-07-AC-00 a travs de 00-000C-07-CA-FF. La mscara no necesita ser un mltiplo de 8. El archivo manuf se instala en el directorio etc en el directorio principal de instalacin (por ejemplo, / Usr / local / etc / manuf) en sistemascompatibles con UNIX y en el directorio principal de instalacin (por ejemplo, C: \Archivos de programa\Ethereal \manuf) en sistemas Windows. Resolucin de nombres (ipxnets) Los archivos ipxnets se utilizan para correlacionar los nmeros de red IPX 4 bytes de nombres. Primero los ipxnets globales archivo se trataba y si esa direccin no se encuentra all el personal se trat a continuacin. El formato es el mismo que el archivo teres, excepto que cada direccin si cuatro bytes en lugar de seis. Adems, la direccin se puede representar un solo nmero hexadecimal, como es ms comn en el mundo IPX, en lugar de cuatro octetos hexagonales. Por ejemplo, estas cuatro lneas son lneas vlidas de un archivo ipxnets:
C0.A8.2C.00HR c0-a8-1c-00CEO 00:00: BE: EF 110fFileServer3

IT_Server1

El archivo ipxnets mundial se encuentra en el directorio / etc en sistemas compatibles con UNIX y en el directorio principal de instalacin (por ejemplo, C: \ Archivos de programa \ Ethereal) en sistemas Windows. El archivo ipxnets personal se busca en el mismo directorio que el archivo de preferencias personales. Captura Filtros El archivo cfilters, contiene filtros de captura personales. El archivo cfilters personal utiliza el mismo directorio que el archivo de preferencias personales. Mostrar filtros El archivo dfilters, contiene filtros de visualizacin personales. El archivo dfilters personal utiliza el mismo directorio que el archivo de preferencias personales. Filtros de color (Reglas para colorear) Los archivos colorfilters contienen filtros de color en todo el sistema y personal. Los archivos globales colorfilters se instala en el directorio etrea bajo la accin subdirectorio del directorio de instalacin principal (por ejemplo, / usr / local / share / etrea) en sistemas compatibles con UNIX y en el directorio de instalacin principal (por ejemplo, C: \ Archivos de programa \ Ethereal) en los sistemas Windows, 213

Traducido por Sykrayo Espaa

El archivo colorfilters personal utiliza el mismo directorio que el archivo de preferencias personales.

214

Traducido por Sykrayo Espaa

A continuacin se toma de http://wiki.ethereunl.com / CaptureFilters Una visin general de la sintaxis del filtro de captura se puede encontrar en la Gua del usuario del Etherreal. Ethereal utiliza la misma sintaxis de filtros de captura como tcpdump, WinDump, Analyzer, y cualquier otro programa que usa la biblioteca libpcap / WinPcap. Ejemplos Captura slo el trfico hacia o desde la direccin IP 172.18.5.4:
anfitrin 172.18.5.4

Captura solamente DNS (puerto 53) Trfico:


el puerto 53

Capturar el trfico no HTTP y no en el servidor SMTP (ambos son equivalentes):


www.example.com anfitrin y no (puerto 80 o el puerto 25) www.example.com anfitrin y no el puerto 80 y el puerto 25 no

Captura excepto todo el trfico ARP y DNS:


puerto no 53 y no arp

Captura nico tipo Ethernet EAPOL:


ter proto 0x888e

Captura solamente el trfico IP - el filtro ms corto, pero a veces muy til para deshacerse de los protocolos de capa inferior como ARP y STP:
ip

Captura solamente el trfico unicast - til para deshacerse del ruido en la red si slo quieres ver el trfico hacia y desde la mquina, no, por ejemplo, la difusin y multidifusin anuncios:
no difundir, no multicast

215

Traducido por Sykrayo Espaa

ClamAV: ClamAV Antivirus escner. Desarrollado por Tomasz Kojm. Disponible desde http://clamav.net/ El antivirus Clam es un kit de herramientas antivirus para UNIX, diseado para el correo electrnico de escaneo de gateways de correo. Se proporciona un demonio flexible y escalable multi-hilo, un escner de lnea de comandos y una herramienta avanzada para la base de datos de actualizacin automtica a travs de Internet. El paquete tambin incluye la biblioteca compartida de un escner de virus.

Cuando se inicia el programa, se muestra una interfaz grfica de usuario. El usuario tiene que elegir dnde quieren que el programa analice. Al hacer clic en "Agregar ..." botn permite al usuario seleccionar el directorio para escanear. Mltiple caminos pueden ser aadidos por repeatly seleccionando el botn "Agregar ...".

Aqu el usuario ha aadido el sistema de destino montado como / Mnt/hda1 a escanear. Antes de iniciar la exploracin, sera una buena idea, si el sistema est conectado a Internet, para actualizar la firma anti-virus. Seleccione Base de datos / Actualizar desde Internet. 216

Traducido por Sykrayo Espaa

Una vez que la base de datos se actualiza, puede seleccionar "Start" para iniciar la bsqueda. Dependiendo del nmero de archivos y la velocidad del sistema, esto puede tomar bastante tiempo. Una vez finalizado el programa, mostrar las estadsticas de lo que ha encontrado.

217

Traducido por Sykrayo Espaa

F-Prot Desarrollado por BRINCAN Software International. Disponible desde http://www.f-prot.com/products / home_use / linux / Para los usuarios domsticos que utilizan el sistema operativo de cdigo abierto Linux, ofrecemos F-Prot Antivirus para estaciones de trabajo Linux. FProt Antivirus para estaciones de trabajo Linux utiliza el conocido motor de anlisis antivirus FProt para la exploracin primaria, pero ha adems que un sistema de heurstica interna diseado para buscar virus desconocidos (Frisk Software International, 2006). F-Prot Antivirus para Linux fue desarrollado especialmente para erradicar efectivamente los virus que amenazan a las estaciones de trabajo que ejecutan Linux. Ofrece una proteccin completa contra los virus de macro y otras formas de software malicioso - incluyendo troyanos. F-Prot Antivirus puede detectar un total de 232.593 gusanos, virus y otros programas maliciosos (Frisk Software International, 2006). Una versin de lnea de comandos de este programa tambin est disponible. Cuando se inicia el programa, el usuario se presenta con un men. El usuario puede optar por analizar un paritition completo o un archivo o directorio. Sin embargo, si la hlice sistema se est ejecutando en est conectado a Internet, se recomienda que el usuario realiza primera eleccin 4 - Es lneaActualizacin.

Durante una actualizacin en lnea, el programa F-Prot acceder al servidor F-Prot y ver si hay una versin ms actual de las firmas anti-virus disponibles. Si lo hay, que se descargarn. Este paso se asegurar de que el programa ser capaz de detectar el ltimo escondite malware en el sistema. 218

Traducido por Sykrayo Espaa

Despus de que las firmas han sido actualizaciones, puede elegir ya sea un partitition, directorio o archivo. En este caso, vamos a revisar el directorio / bin del CD Helix.

F-Prot examinar todos los archivos del directorio seleccionado e identificar los archivos sospechosos.

219

Traducido por Sykrayo Espaa

pyFlag Este documento cubre las operaciones bsicas de la utilidad pyFlag. Este documento se puede encontrar en el men, o en el directorio / usr / local / RTFM. Para obtener ms informacin sobre pyFlag, vaya a http://pyflag.sourceforge.net

220

Traducido por Sykrayo Espaa

RAID-Montaje Este documento, escrito por Michael Cohen, se ocupa de las cuestiones relacionadas con el anlisis forense de las unidades RAID. Este documento se puede encontrar en el men, o en el directorio / usr / local / RTFM. Este documento est disponible en lnea a partir de http://pyflag.sourceforge.net/Documentation / articles / raid / reconstruccintion.html
Abstracto Cuando los examinadores forenses y los equipos de respuesta a incidentes se acercan a un sistema informtico, muy a menudo las unidades RAID estn involucrados. Arrays RAID se encuentran ahora comnmente en muchas computadoras - de las costosas mquinas de servidor de la empresa, hasta llegar a las mquinas de escritorio. Imaging estas mquinas es a menudo difcil, puesto que la reconstitucin de las imgenes lgicas RAID en el laboratorio puede ser difcil sin el controlador idntica utilizada para crear la matriz, y una configuracin idntica. A veces, el controlador no puede aceptar los discos como los miembros de la matriz si la cabecera de matriz se daa o se sobrescriban, por lo que es imposible reconstruir la imagen lgica utilizando medios convencionales. Este documento recoge la reconstruccin manual conjuntos RAID. Se presenta un mtodo para recuperar manualmente el mapa reconstruccin RAID, y las herramientas se presentan al utilizar este mapa para volver a montar el conjunto RAID original o simplemente utilizar todo el conjunto como evidencia sin reensamblaje. Introduccin Discos RAID se han hecho populares en los ltimos aos, incluso en los sistemas de gama baja. Cuando nos enfrentamos a un Sistema RAID, el investigador se enfrenta a menudo con una eleccin difcil. Una forma fiable para obtener imgenes de este sistema es intentar arrancar el sistema desde un CDROM en una plataforma forense como Knoppix o hlice, por ejemplo. Estas plataformas tienen controladores para muchos RAID controladores que permiten a menudo que la matriz sea visto como un nico disco lgico. A continuacin, el investigador sera la imagen del dispositivo a travs de la red, USB o FireWire a otra mquina. El mtodo anterior es muy fiable y sin duda se debe utilizar como el primer puerto de llamada. Sin embargo, a menudo este mtodo falla: A menudo los conductores presentes en el sistema operativo forense no soportan el controlador RAID. Si el controlador no tiene soporte nativo de Linux que esto podra ser un problema. El RAID se hace por software usando un producto patentado. No hay controladores de Linux que son capaces de leer como una matriz. Los encabezados de los discos son los daos o los discos estn marcados como mala, lo que lleva la controladora de la matriz de negarse a utilizar estos discos, a pesar de que los discos s mismos pueden ser legible. No es posible obtener el mando original y la configuracin BIOS. Esto puede ocurrir si el controlador ha sido destruido o simplemente no est disponible.

En estos casos, el RAID tendr que ser reconstruido a mano. En este trabajo se detallar un mtodo para permitir que este proceso se haga con fiabilidad.

221

Traducido por Sykrayo Espaa

Particin-Info Este documento enumera los identificadores de particin para muchos tipos de particiones diferentes. Esto puede ser muy til cuando se trata de montar unidades desconocidas. Este documento se puede encontrar en el men, o en el / Usr / local / RTFM. Lo siguiente es de http://www.win.tue.nl/% 7Eaeb / punrtitions/partition_types-1.html Lista de identificadores de particin para PC A continuacin una lista de los identificadores de particin conocidos (indicadores del sistema) de los distintos sistemas operativos, sistemas de archivos, gestores de arranque, etc Para los diferentes sistemas, se les da una breve descripcin, en los casos en los que tengo algo de informacin. Parece que hay dos otros grandes tales listas: Ralf Brown (vase la lista de interrupcin bajo Int 19) y Hale Landis, pero el actual es ms correcta y completa. (Sin embargo, estas dos URL son una valiosa fuente de informacin adicional.) Vase tambin la tabla Powerquest y las especificaciones de las tablas de particiones de tipo DOS. Copyright (C) E. Andries Brouwer 1995-2004. Enlace a esta lista - no copiarlo. Se actualiza regularmente. Adiciones, correcciones, explicaciones son bienvenidos. (Correo de aeb@cwi.nl.) Nombre ID 00 Empty Para ser ms precisos: no se utiliza para designar el rea no utilizada en el disco, sino que marca una entrada de la tabla de particin no utilizada. (Todos los dems campos deben ser cero tambin.) rea de sobrado no es designado. Plan9 supone que se puede utilizar todo lo que no sea reclamado por otros sistemas en la tabla de particiones. 01 DOS 12-bit FAT DOS es una familia de sistemas operativos de usuario nico para PC. 86-DOS (QDOS `'- sistema operativo rpido y sucio) era un sistema operativo CP / M-como escrito por Tim Paterson de Seattle Computer Products (1979). Microsoft compr, cambi el nombre a MS-DOS 1.0 y lo vendi a IBM (1980) que se entregarn junto con los primeros PCs de IBM (1981). MS-DOS 2.0 (1983) fue muy diferente, y est diseado para ser algo similar a Unix. Apoy un disco duro (hasta 16 MB, hasta 32 MB de la versin 2.1). Version 3.3 + aade el concepto de particiones, donde cada particin es como mximo de 32 MB. (Compaq DOS 3.31 relajado esta restriccin.) Desde la versin 4.0 particiones pueden ser de 512 MB. Versin 5.0 es compatible con particiones de hasta 2 GB. Existen varios clones:. DR-DOS (de Digital Research, ms tarde parte de Novell y llam NovellDOS o NDOS, entonces propiedad de Caldera y llam OpenDOS, a continuacin, por su Lineo filial que lo nombr de nuevo a DR-DOS Ver http://www.drdos.com/), PC-DOS (de IBM), FreeDOS, ... Consulte Tipos de DOS. Ver comp.os.msdos. * Y particiones MSDOS resumen. El tipo 01 es para las particiones de hasta 15 MB. 222

Traducido por Sykrayo Espaa

Este documento es ms de 27 pginas largos, y cubre los tipos de particin de 00 a FF. El documento completo est disponible en lnea o en el CD de Helix.

223

Traducido por Sykrayo Espaa

Sleuthkit-Informer artculos A continuacin se toma de http://www.sleuthkit.org / informador / The Sleuth Kit Informador es un boletn bimensual para el kit Sleuth, Autopsy, y herramientas relacionadas. El objetivo de este boletn es aumentar la conciencia, el conocimiento, y la documentacin de estas herramientas. Los temas previstos van desde herramientas de detalles de diseo con las tcnicas de romper una imagen de disco en imgenes de la particin. Para suscribirse al boletn de correo electrnico, vaya a http://lists.sourceforge.net/lists/listinfo/sleuthkit- delator. A partir de 2004, las nuevas emisiones se liberan en el da 15 de los meses impares (enero, marzo, mayo, etc.) Tabla de contenidos
Edicin # 1-15 febrero 2003 Un diseo general de alto nivel de la autopsia y de tareas Colocar HTML en la crcel Edicin N 2 hasta 15 marzo 2003 Autopsia 1.70 Manejo de Casos Splitting The Disco - Parte 1 Issue # 3-15 abril 2003 Saba usted? - Fecha autopsia Sellos Clasificando el clasificador (Parte 1 en una serie de 3) Issue # 4 a 15 mayo 2003 Saba usted? - Recuperacin de archivos basada en grupos Creacin de conjuntos de reglas de clasificacin para Custom (Parte 2 de una serie de 3) Issue # 5-15 junio 2003 Saba usted? - La importacin de lneas de tiempo en las hojas de clculo Internos Clasificador (Parte 3 de una serie de 3) Edicin # 6-15 julio, 2003 La caza de hash (Parte 1 de una serie de 2) Edicin # 7 hasta 15 ag, 2003 Saba usted? - La reduccin de los datos en los plazos Correccin NSRL Encontrar hashes con 'HBusque "(Parte 2 de una serie de 2) Edicin # 8 a 15 septiembre 2003 Saba usted? - Nuevo registro de comandos Bloqueo de las palabras clave en Edicin # 9-15 octubre, 2003 Ningn artculo importante (De vacaciones por el Honeynet Clasificacin Desafo) Edicin # 10 al 16 noviembre, 2003 UNIX Verificacin incidente con el kit Sleuth Edicin # 11 a 15 diciembre 2003

224

Traducido por Sykrayo Espaa

Edicin # 12-15 enero 2004 sdd: A Variant 'dd' Dividir el disco con MMLS Edicin # 13-15 marzo 2004 Call For Papers UNIX Verificacin de Incidentes con Autopsy Edicin # 14-15 mayo 2004 Call For Papers TSK recuperacin de archivos FAT Edicin # 15 a 15 julio, 2004 Partition Recovery Con TestDisk (Christophe Grenier) Nombre del archivo buscando en Autopsia (Brian Carrier) Edicin # 16-15 septiembre 2004 Searchtools, indexado Buscar en Imgenes Forenses (Paul Bakker) sstrings y bsqueda Unicode (Brian Carrier) Adquisiciones "DD"Edicin # 21 a 15 noviembre 2005

Archivos Hurfanos NTFS (Brian Carrier) Edicin # 17-15 noviembre, 2004 Deteccin de host reas Protegidas (HPA) en Linux (Brian Carrier) Encontrar Firmas binarias (Brian Carrier) Edicin # 18 hasta 15 en 2005 Descripcin de la salida fsstat FAT (Brian Carrier) Edicin # 19 a 15 marz 2005 Nueva Imagen de archivo de soporte (Brian Carrier) Conexin de llamadas IO para soporte de imgenes multiformato (Michael Cohen) Edicin # 20 a 15 may 2005 Eliminacin de acogida reas Protegidas (HPA) en Linux (Brian Carrier) Deteccin automtica de tipos (Brian Carrier) Nuevas Licencias Sleuth Kit (Brian Carrier) FAT y ils cambios (Brian Carrier)

225

Traducido por Sykrayo Espaa

Herramientas de lnea de comandos Aunque sera bueno para todas las herramientas para tener interfaces grficas de usuario, la verdad es que hay muchas herramientas muy poderosas que slo estn disponibles a partir de una lnea de comandos. De hecho, algunos investigadores creen que estas herramientas son ms potentes que sus contrapartes GUI. Las siguientes herramientas estn disponibles en el lado de Linux del CD Helix, y slo funcionarn desde el shell.When comandos utilizando estas herramientas, lo mejor sera utilizar un shell de comandos conectado (disponible en la barra de tareas) para que todas sus acciones son conectado. Algunas de estas herramientas son muy poderosos, y pueden ser muy destructivos, as que mucho cuidado al usarlos. 2hashMD5 y SHA1 hash paralelas. BMA Detectar y recuperar datos en slackspace usado. P archivos tcpdump chaosreaderTrace y extraer los datos. Mira chkrootkit de rootkits. chntpw Cambie las contraseas de Windows. reemplazo dcfldddd de la DCFL. e2recoverRecover archivos borrados en sistemas de archivos ext2. Fatbac Analizar y recuperar archivos FAT eliminados. k faust.plAnalyze elf binarios y secuencias de comandos bash. fenrisdebugging, seguimiento, descompilacin. foremostCarve archivos basados en encabezado y pie de pgina. f-prot F-Prot anti antivirus. ftimes Un conjunto de herramientas para la adquisicin de datos forenses. analizador de galleta de la galleta por Internet Explorer. indexacin visin y el sistema de consulta. grepmailGrep travs de buzones. logfinder.py EFF utilidad logfinder. logshLog la sesin de terminal (Tomado de FIRE). lshw Lister Hardware. mac_grab.ple-fensa utilidad momento MAC. mac-ladrn Ladrn de tumbas de TCT escrito en C. md5sum md5deepRecursive con bsquedas db. ser ms astuto que Stego deteccin suite. herramienta para el anlisis pascoForensic Internet Explorer. rifiuti "Papelera de reciclaje" del analizador. rkhunter Rootkit Hunter. scalpelfast archivo tallador sdd Especializada dd con un mejor rendimiento. sha1sum sha1deepRecursive con bsquedas db. sha1sum sha256deepRecursive con bsquedas db. suite de deteccin stegdetectStego.

226

Traducido por Sykrayo Espaa

eliminacin de archivos wipeSecure.

227

Traducido por Sykrayo Espaa

2hash: MD5 y SHA1 hash paralelas. Desarrollado por Thomas Akin. Disponible desde http://crossrealm.com/2hash/ Desde el sitio web: 2hash realiza simultneamente una md5 y sha1 una suma de comprobacin en el archivo (s). Si quieres dos sumas de comprobacin, adems de la verificacin de integridad, que ya ha tenido que correr md5sum y sha1sum serie causando la integridad comprueba para tomar el 100% ya que la ejecucin de un solo cheque solo. 2hash corre tanto hashes en paralelo, slo tener que leer el archivo una vez. Esto le permite obtener los dos valores hash con slo un aumento de tiempo de 8% solo md5 terminado, y slo un incremento del 2% sobre el tiempo solo sha1. Se corre alrededor de 90% ms rpido que utilizando tanto md5 y sha1 una despus de la otra ... Ouput muestra: # 2hash recovered.txt (Md5) 547e3d9033620b83d6fb93a9106af672 (sha1) f949d01a59b889aa1f448d2bb8a4c493ae56a84b # recovered.txt recovered.txt

El programa acepta caracteres comodn estndar (?, *), Y expresiones regulares.

228

Traducido por Sykrayo Espaa

BMAP: Detectar y recuperar datos en slackspace usado. Desarrollado por Daniel Ridge. Disponible desde http :/ / www.packetstormsecurity.org/linux/ Security/bmap-1.0.17.tar.gz BMAP se puede utilizar para almacenar, recuperar y eliminar la informacin almacenada en el espacio de holgura de un archivo. Nota: Los usuarios deben tener mucho cuidado al usar esta herramienta, segn el desarrollador, "ADVERTENCIA: Esto puede azotar su disco duro." Existe la preocupacin de que esta herramienta va a operar en el sistema de archivos ext3. Segn Henry Owen (2004), "BMAP no ha sido actualizado desde 2000 y nunca fue probado con ext3. Esta incursin en ext3 no es mencionado por el autor BMAP o en cualquier lugar en Internet y puede daar el sistema de archivos. " El siguiente es el resultado del comando: BMAP - help BMAP: 1.0.20 (05/17/04) Newt @scyld.com Uso: BMAP [OPTION] ... [<target-filename>] usar protector lista de conocimientos para llevar a cabo operaciones especiales en los archivos - Doc VALOR Donde valor es uno de: Versin versiondisplay y salida las opciones de visualizacin de ayuda y termina mangenerate pgina de manual y salida sgml generar SGML info invocacin - VALOR modo Donde valor es uno de: nmeros de sector maplist carveextract una copia de los datos de visualizacin de dispositivos bsicos de holgura en el espacio de holgura putslack datos de lugares en la holgura wipeslackwipe holgura checkslacktest de holgura (devuelve 0 si el archivo tiene holgura) slackbytesprint nmero de bytes de holgura disponible wipewipe el archivo desde el dispositivo sin formato informacin de fragmentacin fragdisplay del archivo checkfragtest de fragmentacin (devuelve 0 si se fragmenta archivo) - Archivosalida <filename> escribir la salida a ... - Opcin falsa labeluseless - Opcin falsa nameuseless - Verbosebe detallado - Log-umbral <Ninguno | |error fatal | info | Poder | curso | entryexit> tala umbral ... - <filename> Objetivo operar en ... 229

Traducido por Sykrayo Espaa

Lo siguiente es de http://www.linuxsecurity.com/content/view/117638 / (Chuvakin, 2002). Una mirada ms detallada a internos ext2 revela la existencia de espacio de holgura. Sistema de Ficheros utiliza partes direccionables de disco denominadas bloques que tienen el mismo tamao. Sistemas de archivos Ext2 suelen utilizar 1,2

230

Traducido por Sykrayo Espaa

o 4 KB bloques. Si un archivo es ms pequeo que el tamao de bloque, se desperdicia el espacio restante. Se llama espacio de holgura. Este problema a largo plagado primeros usuarios de Windows 9x con sistemas de archivos FAT16, que tuvieron que utilizar tamaos de bloques de hasta 32 K, desperdiciando as una gran cantidad de espacio si el almacenamiento de archivos pequeos. En una particin Linux 4 GB, el tamao del bloque es tpicamente 4K (elegido de forma automtica cuando el mke2fs utilidad se ejecuta para crear un sistema de archivos). As, se puede ocultar con fiabilidad hasta 4 KB de datos por archivo si utiliza un archivo pequeo. Los datos sern invulnerables al uso del disco, invisible desde el sistema de archivos, y, lo que es ms emocionante para algunas personas, indetectable por comprobadores de integridad de archivos mediante algoritmos de suma de comprobacin de archivos y los tiempos de MAC. Ext2 disquete (con un tamao de bloque de 1 KB) permite que los datos se esconden tambin, aunque en fragmentos ms pequeos. El BMAP herramienta oscura existe para los datos de mermelada en el espacio de holgura, sacarlo y tambin limpiar el espacio de holgura, si es necesario. Algunos de los ejemplos que siguen: El siguiente comando pone los datos en el espacio de holgura producida por el archivo / etc / passwd # Echo "datos mal est aqu" | BMAP - Modo putslack / etc / passwd Este comando le mostrar los datos almacenados en el espacio de holgura de un archivo # BMAP - Modo de holgura / etc / passwd llegar del bloque 887048 El tamao del archivo es: 9428 tamao de transmisin: 2860 tamao de bloque: 4096 mal los datos estn aqu Este comando borra los datos almacenados en el espacio de holgura de un archivo # BMAP - Modo wipeslack / etc / passwd Ocultacin de datos en el espacio de holgura se pueden utilizar para guardar secretos, la evidencia de la planta (software forense encontrar, pero el sospechoso probablemente no lo har) y tal vez ocultar herramientas de comprobadores de integridad (si se implementa la divisin automtica del archivo grande en trozos del tamao de holgura ).

231

Traducido por Sykrayo Espaa

ChaosReader: archivos tcpdump trazas y extraer los datos. Desarrollado por Brendan Gregg. Disponible desde http://users.tpg.com.au/bdgcvb/chaosreader. HTML ChaosReader es una herramienta gratuita para rastrear TCP / UDP / ... sesiones y capturar datos de solicitud de snoop o tcpdump logs. Este es un tipo de "cualquier snarf-" del programa, ya que obtendr sesiones telnet, archivos FTP, transferencias HTTP (HTML, GIF, JPEG, ...), correos electrnicos SMTP y las de los datos capturados dentro de los registros de trfico de la red, . Se crea un archivo de ndice HTML que vincula a todos los detalles de la sesin, incluidos los programas de reproduccin en tiempo real de telnet, rlogin, IRC, X11 o sesiones VNC, e informes, como los informes de imgenes y HTTP GET / POST informes de contenido. Chaosreader tambin puede funcionar en modo independiente - en el que invoca tcpdump o snoop (si estn disponibles) para crear los archivos de registro y luego los procesa (Gregg, 2004). La siguiente informacin fue tomada de http://users.tpg. Com.au / adsln4yb/Chaos/readme.txt
Uso rpido: tcpdump-s9000-w OUT1; chaosreader OUT1; netscape index.html o, snoop-o OUT1; chaosreader OUT1; netscape index.html o, etreo (guardar como "OUT1"); chaosreader OUT1; netscape o, index.html chaosreader-s 5; netscape index.html

USO: chaosreader [-aehikqrvxAHIRTUXY] [-D dir] [B-port [, ...]] [-B puerto [, ...]] [-J direccinIP [, ...]] [-J direccinIP [, ...]] [-L puerto [, ...]] [-L puerto [, ...]] [-m bytes [k]] [-M bytes [k]] [-o "tiempo" | "tamao" | " Tipo "|" ip "] [-P puerto [, ...]] [-p puerto [, ...]] infile [infile2 ...] chaosreader-s [minutos] |-S [min, [count]] [-z] [-f 'filtro'] chaosreader # Crear archivos de sesin de aplicacin, los ndices -A, - aplicacin # Crear los archivos de sesin de la aplicacin (por defecto) -E, - todo # Crear HTML de 2 vas y archivos hexadecimales para todo -H # Imprime una breve ayuda - Ayuda # Imprimir detallado de ayuda (este) y la versin - Help2 # Imprima ayuda masiva -I, - info # crea el archivo info -Q, - quiet # Tranquilo, no hay salida a la pantalla -R, - primas # Crear archivos RAW -V, - verbose # detallado - Crear TODOS los archivos .. (Excepto-e) -X, - ndice # Crear archivos de ndice (por defecto) -A, - noapplication # Excluir archivos de sesin de la aplicacin -H, - hex # include volcados hexadecimales (lento) -I, - noinfo # excluir archivos info -R, - noraw # Excluir archivos RAW

232

Traducido por Sykrayo Espaa

-T, -U, -Y, -X, -K,

notcp # excluir el trfico TCP noudp # excluir el trfico UDP noicmp # excluir el trfico ICMP noindex # Excluir archivos de ndice Keydata # Crear archivos adicionales para el anlisis de golpe de teclado

233

Traducido por Sykrayo Espaa

-D dir - dir dir # Salida todos los archivos a este directorio -B 25,79 - 25,79 playtcp # reproducir estos puertos TCP tambin (reproduccin) -B 36,42 - 36,42 playudp # reproducir estos puertos UDP tambin (reproduccin) -L 7,79 - 7,79 htmltcp # Crear HTML para estos puertos TCP y L-7123 - htmludp 7123 # Crear HTML para estos puertos UDP, as -M 1k - min 1k # tamao mnimo de conexin para ahorrar ("k" para indicar Kb) 1024k-M - max 1k # Tamao mximo de la conexin para ahorrar ("k" para indicar Kb) -O tamao - Tamao de tipo Nmero de pedido para ordenar: tiempo / tamao / tipo / ip (tiempo predeterminado) -P 21,23 - 21,23 port # Slo examinar estos puertos (TCP y UDP) -P 80,81 - 80,81 noport # Excluir estos puertos (TCP y UDP) -S 5 - runonce 5 # Standalone. Ejecutar tcpdump / snoop durante 5 minutos. -S 5,10 - 5,10 runmany # independientes, muchos. 10 muestras de 5 minutos cada uno. S-5 - runmany 5 # independiente, sin fin. 5 min muestras siempre. -Z - runredo # Standalone, rehacer. Vuelve a leer los registros de la ltima ejecucin. -J 10.1.2.1 - 10.1.2.1 ipaddr # Slo examinar estas IPs -J 10.1.2.1 - 10.1.2.1 # noipaddr Excluir estas IPs 'Puerto 7'- filter'-f puerto 7 '# Con autnomo, utilice este filtro vertedero. eg1, tcpdump -S9000-w salida 1 # crea el archivo de captura de tcpdump chaosreader salida 1 # extraer sesiones reconocidos, o, chaosreader-ve salida 1 # dame todo, o, chaosreader-p 20,21,23 salida 1 # slo ftp y telnet ... EG2, snoop-o salida 1 # crea snoop captura de archivos en lugar chaosreader salida 1 # extraer sesiones de reconocidos ... EG3, chaosreader-S 2,5 # Standalone, resoplido de red 5 veces durante 2 minutos # Cada uno. Ver index.html para el progreso (o. Texto) Archivos de salida: Muchos se crear, ejecutar esto en un directorio limpio. Ejemplo corto, ndice index.htmlHtml (detalles) ndice index.textText ndice index.fileFile para el modo de hacer de nuevo autnomo image.htmlHTML informe informe de imgenes de HTTP GET / POST peticiones getpost.htmlHTML archivo session_0001.infoInfo describir TCP Sesin # 1 session_0001.telnet.htmlHTML color captura de 2 vas (tiempo de ordenar) session_0001.telnet.rawRaw datos 2 vas de captura (tiempo ordenado) session_0001.telnet.raw1 Raw captura de 1 va (assembeled) servidor-> cliente session_0001.telnet.raw2 Raw 1 va captura (assembeled) cliente-> servidor session_0002.web.html HTML de color de 2 vas porcin HTTP session_0002.part_01.html de lo anterior, un archivo HTML session_0003.web.htmlHTML de color de 2 vas session_0003.part_01.jpeg porcin de HTTP de lo anterior, un archivo JPEG session_0004.web.htmlHTML de color de 2 vas porcin session_0004.part_01.gifHTTP de lo anterior, un archivo GIF session_0005.part_01.ftp-data.gzAn FTP de gz. transferencia, un ... La convencin es, session_ * Sesiones TCP stream_ * Streams UDP icmp_ * ICMP paquetes index.htmlHTML ndice ndice index.textText ndice index.fileFile para el modo de hacer de nuevo autnomo nico informe image.htmlHTML de imgenes

234

Traducido por Sykrayo Espaa

informe getpost.htmlHTML de HTTP GET / POST peticiones *. InfoInfo archivo que describe la reunin / Corriente *. RawRaw datos de captura de 2 vas (tiempo de ordenar)

235

Traducido por Sykrayo Espaa

*. Raw1Raw 1 va captura (assembeled) servidor-> cliente *. Raw2Raw 1 va captura de cliente-> servidor (assembeled) *. ReplaySession programa de reproduccin (perl) *. Parcial. * Captura parcial (tcpdump / snoop eran conscientes de gotas) *. Hex.html2 vas volcado hexadecimal, dictada en color HTML *. Hex.text2 vas volcado Hex en texto plano *. X11.replayX11 script de repeticin (conversaciones X11) *. TextX11.replayX11 comunicada script de repeticin de texto (slo texto) * Informe de texto. TextX11.html2 vas, dictada en rojo / azul HTML *. Archivo de datos de retardo keydataKeystroke. Se utiliza para el anlisis de SSH. Modos: * Normal - por ejemplo, "chaosreader infile", aqu es donde un tcpdump / snoop archivo se cre con anterioridad y chaosreader lee y procesa. * Independiente, una vez - por ejemplo, "chaosreader-s 10", aqu es donde chaosreader ejecuta tcpdump / snoop y genera el archivo de caso de los 10 i registro, en este minutos, y a continuacin, procesa el resultado. Algunos sistemas operativos no pueden tener tcpdump o snoop disponibles as que esto no va a funcionar (y no puede ser capa conseguir Ethereal, ejecutarlo, guardar en un archivo, a continuacin, z utilizar el modo normal). Hay un index.html maestro y el index.html informe en una sub dir, que es el formato de out_YYYYMMDD-hhmm, por ejemplo, "out_200310032221". * Independiente, muchos - por ejemplo, "chaosreader-S 5,12", aqu es donde chaosreader ejecuta tcpdump / snoop y genera muchos archivos de registro, en este caso, muestras de 12 veces durante 5 minutos cada uno. Si bien esto est funcionando, el index.html maestro puede ser vista para mirar el progreso, que enlaza con los informes index.html menores en cada subdirectorio. * Independiente, haga de nuevo - por ejemplo, "chaosreader-ve-z", (la-z), aqu es donde una captura independiente se realiz anteriormente - y ahora le gustara volver a procesar los registros - tal vez con otras opciones (en este caso, "-Ve"). Dice index.file para determinar qu registros de captura de leer. * Independiente, sin fin - por ejemplo, "chaosreader S-5", al igual que muchos autnomo pero se corre para siempre (si alguna vez tuvo la necesidad?). Cuidado con el espacio en disco! Nota: esta es una trab en curso, algunos de el cdigo es un poco sin pulir. ajar

Consejo: * Ejecutar chaosreader en un directorio vaco. * Crear pequeo verted Chaosreader utiliza alrededor de 5 tamao paquete eros. veces el vertedero en la memoria. Un archivo de 100Mb podra necesitar 500 MB de RAM para procesar. * Su tcpdump puede permitir "-s0" (paquete completo) en lugar de "-s9000". * Tenga cuidado con el uso de demasiado espacio en disco, el modo especial independiente. * Si se captura demasiadas pequeas conexiones que dan una gran index.html, pruebe a utilizar la ignorar las pequeas conexiones. por ejemplo, "m-1k". opcin-m para * Snoop registros pueden realmente funcionar mejor. Snoop registros se basan en RFC1761,

236

Traducido por Sykrayo Espaa

sin embargo, hay varients de tcpdump / libpcap y este programa muchos No puede leerlos todos. Si tienes Ethereal puede crear snoop registros durante el "guardar como" opcin. En Solaris utilice "snoop-o archivo de registro". * Tcpdump logs pueden no ser portables entre sistemas operativos tamao que utilizan diferentes marcas de tiempo o endian. * mejor se cre en una memoria sistema de archivos para la velocidad, Regist normalmente / tmp. ros * Para X11 ni la reproduccin de VNC, primero la prctica mediante la reproduccin de un reciente capturado sesin de su cuenta. El mayor problema es la profundidad de color, la pantalla debe la captura. Para X11 comprobacin de autenticacin (xhost +), para el coincidir Cheque los usuarios diversas opciones (-8bit ", Hextile", ...) VNC * El anlisis se puede realizar con el programa "sshkeydata" demostr SSH como en http://www.brendangregg.com/sshanalysis.html . chaosreader proporciona los archivos de entrada (*. keydata) que sshkeydata anlisis.

237

Traducido por Sykrayo Espaa

chkrootkit: buscar rootkits. Desarrollado por Nelson Murilo y Klaus Steding-Jessen. Est disponible a partir de http://www.chkrootkit.org chkrootkit es una herramienta para comprobar localmente para detectar signos de un rootkit. Se comprobar los principales servicios pblicos de la infeccin, y en la actualidad es capaz de detectar 60 rootkits y sus variaciones. La siguiente informacin fue tomada de http://www.chkrootkit.org/README Uso chkrootkit debe ejecutarse como root. La forma ms sencilla es: #. / Chkrootkit Esto llevar a cabo todas las pruebas. Tambin puede especificar slo las pruebas que desee, como se muestra a continuacin: Uso:. / Chkrootkit [opciones] [nombre_prueba ...] Opciones: -Hshow esta ayuda y finaliza Informacin de versin-VShow y salida -Lshow pruebas disponibles -DDEBUG Modo de qquiet Modo de xexpert -R dir utilizar como directorio raz dir -P dir1: dir2: Dirnruta de los comandos externos utilizados por chkrootkit -Nskip directorios NFS montado Cuando nombre_prueba significa uno o ms de la siguiente lista: extranjeros spid bindshel l lkm rexedcs sniffer w55808 wted especulado r percutor z2 chkutmp amd basenam e tortazo chfn chsh cron fecha du dirname eco egrep env encontrar fingerd gpm grep hdparm do ifconfig inetd inetdconf identd init killall ldsopreloa d inicio de sesin ls lsof correo mingetty netstat llamado passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail shd syslogd alquitrn tcpd tcpdump superior telnetd temporiza da traceroute vdir w escribir

238

Traducido por Sykrayo Espaa

Por ejemplo, el siguiente comando comprueba troyano ps y ls binarios y tambin comprueba si la interfaz de red en modo promiscuo.

239

Traducido por Sykrayo Espaa

#. / Chkrootkit ps ls sniffer La opcin `-q 'opcin se puede utilizar para poner chkrootkit en modo silencioso - en este modo slo los mensajes de salida con` infectado' se muestran de estado. Con la opcin `-x ', el usuario puede analizar cadenas sospechosas en los programas binarios que pueden indicar un troyano - todos los anlisis se deja al usuario. Muchos de los datos se pueden ver con: #. / Chkrootkit-x | ms Nombres de vas dentro de los comandos del sistema: # / Chkrootkit-x |. Egrep '^ /' chkrootkit utiliza los siguientes comandos para hacer sus pruebas: awk, corte, egrep, encuentra, cabeza, id, ls, netstat, ps, cadenas, sed, uname. Es posible, con la opcin '-p', para proporcionar una ruta alternativa para chkrootkit para que no se utilice del sistema (posiblemente) comprometido binarios para hacer sus pruebas. Para utilizar, por ejemplo, los binarios en / cdrom / bin: #. / Chkrootkit-p / cdrom / bin Es posible aadir ms rutas con un `: ' #. / Chkrootkit-p / cdrom / bin :/ floppy / mybin A veces es una buena idea para montar el disco de una mquina comprometida en un equipo de su confianza. Se puede montar el disco y especifique una nueva rootdir con la opcin '-r'. Por ejemplo, supongamos que el disco que desea comprobar est montado en / mnt, entonces: #. / Chkrootkit-r / mnt Los mensajes de salida Los siguientes mensajes se imprimen chkrootkit (excepto con las opciones de comando-x-qy) durante sus pruebas: "Infected": la prueba ha identificado un comando probablemente modificado por un rootkit conocido; "No infectado": la prueba no encontr ninguna firma rootkit conocido. "No probado": la prueba no se realiz - esto podra ocurrir en las siguientes situaciones: a) la prueba es OS especfico; b) la prueba depende de un programa externo que no est disponible;

240

Traducido por Sykrayo Espaa

c) se dan algunas opciones especficas de la lnea de comandos. (Por ejemplo,-r).

241

Traducido por Sykrayo Espaa

"No encontrado": el mandamiento de ser probado no est disponible; "Vulnerable pero discapacitado": el comando se infecta pero no en uso. (No correr o comentado en inetd.conf) Se ha encontrado un comando troyanizado. Qu debo hacer ahora? Su mayor problema es que el equipo ha sido comprometido y este chico malo tiene privilegios de root. Tal vez usted puede resolver el problema con slo reemplazar el comando troyano - la mejor forma de hacerlo es volver a instalar el equipo desde un dispositivo de seguridad y seguir las recomendaciones de seguridad de su proveedor. Ms informacin "Adicin Chkrootkit a su arsenal de Auditora Unix", por Bill Hutchison, disponible en http://www.giac.org/practical/ Gsec / Bill_HUTChison_GSEC.pdf "Descripcin de los Rootkits", por Oktay Altunergil, disponible en http://www.linuxdevcenter.com / pub / a / linux/ 2001/12/14/rootkit.html "Anlisis de rootkits", por Oktay Altunergil, disponible en http :/ / www.linuxdevcenter.com / pub /un / linux/ 2002/02/07/rootkits.html

242

Traducido por Sykrayo Espaa

chntpw: Cambie las contraseas de Windows. Desarrollado por Petter Nordahl-Hagen. Disponible desde http://home.eunet.no / ~ pnordahl / ntpasswd / Esta es una herramienta muy til para restablecer la contrasea en cualquier Windows NT, 2000 y XP cuenta. Para que esto funcione, la unidad que contiene el sistema operativo debe ser montado como lectura / escritura para permitir que el programa para modificar el registro del sistema de destino. La siguiente es tomado de: http://home.eunet.no/ ~ pnordahl / ntpasswd / README.txt
La Offline NT Password Editor Qu hace? ---------------Este pequeo programa te permitir ver algo de informacin y cambiar las contraseas de usuario en un entorno Windows NT SAM UserDatabase archivo.Solo no necesita saber las contraseas antiguas. Sin embargo, es para obtener el archivo de alguna manera u otra adicin yourself.In necesario que contiene un editor de registro sencillo, con soporte total de escritura y editor hexadecimal que le permite ver alrededor de los bits y bytes en el archivo como desee usted mismo. Por qu? ---A menudo me olvido de contraseas. Especialmente en (Que acabo de tener _debe_ instalaciones de prueba un poco de materia de medio ao despus ..) En la mayora de los cuadros basados en unix simplemente arrancar la cosita de algn tipo de rescate bootmedia (cd / floppy, etc), y simplemente editar la contrasea file.On Windows NT sin embargo, en lo que Lo s, no hay manera de excepcin reinstalar el UserDatabase, perdiendo todos los usuarios excepto administracin. (Ok, algunas compaas permiten pagar lotsa $ $ $ $ $ por algn servicio de rescate ..) Cmo? ---En la actualidad, esto slo se ejecuta en Linux, pero que slo puede pasar a compilar en otras plataformas, tambin. (Hay dosificaciones versiones disponibles, buscar enlaces en mi pgina web) Por lo tanto, para establecer un nuevo adminpassword en su instalacin de NT que sea: 1) Tome el disco duro y montarlo en un linux-box 2) Utilice un disco de arranque linux-o CD uno est disponible en: http://home.eunet.no/ ~ pnordahl / ntpasswd / es decir. lo hace fuera de lnea, con el sistema NT abajo. Uso: -----chntpw versin 0.99.2 040105, (c) Petter N Hagen chntpw: cambio de contrasea de un usuario en un archivo SAM de NT, o invocar el Editor del Registro. chntpw [OPCIONES] <samfile> [systempara] [securityfile] [otherreghive] [...] Mensajes hThis -U <usuario> usuario para cambiar, Administrador es por defecto -LLIST todos los usuarios en el archivo SAM

243

Traducido por Sykrayo Espaa

-IInteractive. Lista de usuarios (as-l) y luego piden nombre de usuario para cambiar -ERegistry editor. Ahora con soporte de escritura completo! Depurador buffer-Denter lugar (editor hexadecimal), -Ttrace. Mostrar hexdump de estructuras / segmentos. (Funcin de depuracin en desuso) -VBE un poco ms detallada (por debuging) Nombres-LWrite de archivos modificados a / tmp / cambiar Modo de asignacin-NNo. Sobrescribe posible nicamente misma longitud (estilo antiguo)

244

Traducido por Sykrayo Espaa

El uso normal es: > Chntpw sam seguridad del sistema - Secciones del Registro abierto "sistema" y la cuenta de administrador cambio "sam" y. Veriones de fecha posterior a partir de febrero 1999, y ms tarde tambin apoya y encontrar la cuenta de administrador, incluso si el nombre ha sido cambiado, o el nombre ha sido localizada (diferente LanguageVersion de NT utilizar diferentes adminis-nombres) La opcin-u: Especifica usuario cambiar: > Chntpw-u jabbathehutt mysam - Solicitar la contrasea de 'jabbathehutt', si se encuentra (de lo contrario no hacer nada) O puede dar nmero de RID en hexadecimal: > Chntpw-u 0x1F4 mysam - Editaremos administrador. Los nombres no soporta caracteres multibyte (Unicode) como algunas configuraciones regionales de ruso y asitico. Dale RID en hexadecimal para editar usuarios con tales nombres. Debe comenzar por 0x. Ex: 0x2fa La opcin-l: Volu una lista de todos los usuarios en el archivo sam. ntad opcin: El iEntra en el sistema de men interactivo. La opcin-d: Esto cargar el archivo y, a continuacin, introduzca inmediatamente el depurador buffer. Este es un simple editor hexadecimal con slo unos pocos comandos, escriba? en el. del sistema para ver una descripcin breve orden. 'Q' sale sin guardar, salida 's' y guarda. El e- opcin: Volu entrar en el editor del registro. ntad Usted puede navegar por el registro como un sistema de archivos en el indicador de lnea de comandos: Ver fichero regedit.txt para ms informacin. La opcin-t: Este es una funcin de depuracin -L) para mostrar cmo se traza la cadena de las (ampliado estructuras de el archivo. Esto tambin incluye una interpretacin cruda de las diferentes estructuras de registro + un volcado hexadecimal. La opcin-L: Drops los nombres de archivo de las colmenas cambiado en / tmp / cambiado Utilizado por los guiones flexibles. La opcin-N: Volu caer de nuevo en el modo de edicin antigua, desactivar las asignaciones de ntad bloques y slo admiten sobrescritura del mismo tamao. Se utiliza para garantizar la seguridad en el periodo

245

Traducido por Sykrayo Espaa

de prueba.

246

Traducido por Sykrayo Espaa

dcfldd: dd reemplazo del DCFL. Desarrollado por Nicholas Harbour. Disponible desde http://dcfldd.sourceforge.net/

Esta herramienta fue desarrollada originalmente en el Departamento de Defensa de Informtica Forense Lab (DCFL), de ah el nombre. Mientras Nick Harbour ya no est afiliado a la DCFL, todava mantiene el paquete. El DCFL no mantener, apoyar, o tener cualquier otra afiliacin con dcfldd (Harbour, 2006). Helix contiene dcfldd 1.3.4 que est siendo sometido a acredidation forense. dcfldd es una versin mejorada de GNU dd con caractersticas tiles para la medicina forense y la seguridad. Basado en el programa dd encuentra en el paquete GNU Coreutils, dcfldd tiene las siguientes caractersticas adicionales (Harbour, 2006): Hashing on-the-fly - dcfldd puede hash de los datos de entrada, ya que se est transfiriendo, ayudando a garantizar la integridad de los datos. Salida de estado - dcfldd puede actualizar el usuario de su progreso en trminos de la cantidad de datos transferidos y cunto tiempo llevar la operacin. Toallitas de discos flexibles - dcfldd se pueden utilizar para limpiar los discos de forma rpida y con un patrn conocido, si se desea. Imagen / limpie Verify - dcfldd puede comprobar que una unidad de destino es un partido de bit por bit del archivo de entrada especificado o patrn. Mltiples salidas - dcfldd pueden dar salida a varios archivos o discos a la vez. Salida de Split - dcfldd puede dividir en varios archivos de salida con ms configurabilidad que el comando Dividir. Salida de corriente y registros - dcfldd pueden enviar todos sus datos de registro y de salida de comandos, as como archivos de forma nativa.

La siguiente es la pgina de manual de dcfldd.


NOMB RE dcfldd - pgina del manual para (Dcfldd) 1.2.4 dcfldd

SINOPSIS dcfldd [OPTION] ... DESCRIPCIN Copiar un archivo, convertir y formatear segn las opciones. bs = bytes fuerza ibs = bytes y

obs = bytes

cbs = bytes convertir bytes bytes de una vez conv = PALABRAS CLAVE convertir el archivo de acuerdo con la lista de palabras clave separadas por comas count = BLOQUES copiar slo los bloques de entrada BLOQUES

247

Traducido por Sykrayo Espaa

ibs = bytes Bytes de lectura de bytes a la vez

248

Traducido por Sykrayo Espaa

if = Archivo leer desde archivo en lugar de la entrada estndar obs = bytes escribe bytes bytes de una vez de = Archivo escribir al archivo en lugar de stdout NOTA: de = archivo puede ser utilizado varias veces para escribir la salida a varios archivos al mismo tiempo buscar = BLOQUES omit BLOQUES obs-tamao en el arranque de la produccin ir skip = BLOQUES omitir BLOQUES ibs de tamao al inicio de la entrada patrn = HEX utilizar el patrn binario especificado como entrada Textpattern = TEXTO Utilice el texto repitiendo como entrada hashwindow = BYTES realizar un hash en cada BYTES cantidad de datos hash = NOMBRE ya sea MD5, SHA1, SHA256, SHA384 y SHA512 defecto algorithmis md5. Para seleccionar varios algoritmos para ejecutar introducir simultneamente los nombres en una lista separada por comas hashlog = Archivo enviar la salida hash MD5 de archivo en lugar de stderr si usted est utilizando varios algoritmos hash se puede enviar a cada una seperatefileusingtheconvention ejemplo ALGORITHMlog = FILE, para md5log = ARCHIVO1, sha1log = ARCHIVO2, etc hashformat = FORMATO mostrar cada hashwindow segn FORMATO se describe el formato de hash mini-idioma a continuacin totalhashformat = Formato de pantalla el valor hash total segn Estado FORMAT = [on | off] pantalla un mensaje de estado continuo en stderr estado predeterminado es statusinterval "on" = N actualizar el mensaje de estado de todos los bloques de N valor predeterminado es 256 sizeprobe = [si | de]

249

Traducido por Sykrayo Espaa

determinar el tamao del archivo de entrada o de salida para su uso con los mensajes de estado. (Esta opcin le da apercent-

250

Traducido por Sykrayo Espaa

edad indicador) ADVERTENCIA: no use esta opcin en contra de un dispositivo de cinta. dividir = BYTES escribir todos los BYTES cantidad de datos en un nuevo archivo Esta operacin se aplica a cualquiera de = Archivo que sigue splitformat = TEXTO el formato de extensin de archivo para la operacin de divisin. nmero youmayuseany de 'a' o 'n' en cualquier combo el formato por defecto es NOTE "nnn": El efecto splitandsplitformatoptionstake

onlyforoutputfiles especificados despus de aparecen las opciones en estas el comando line.Likewise, puede especificar estas varias veces para los diferentes archivos de salida dentro de la misma lnea de comandos. usted puede utilizar como muchos dgitos en que le gustara. (por ejemplo cualquier combinacin "Anaannnaana" sera vlida, pero bastante loco) vf = Archivo verificar que coincide con la ARCHIVO

entrada especificado

verifylog = Archivo enviar verificar los resultados de archivos en lugar de stderr - Help muestra esta ayuda y finaliza - Version informacin de la versin de salida y salida La estructura del formato puede contener texto vlido y variables especiales. Las variables incorporadas se utilizan el siguiente formato: # variable able_name # Pasar cadenas de formato para el programa desde una lnea de comandos, puede ser necesario rodear las cadenas de formato con "citas". Las variables incorporadas se enumeran a continuacin: window_start El desplazamiento de la hashwindow byte inicio window_end El byte de fin de desplazamiento del hashwindow block_start El bloque de inicio (por tamao de bloque de entrada) de la ventana block_end El bloque final (por el tamao de bloque de entrada) de la ventana de hash hashThe valor hash algoritmo El nombre del algoritmo hash Por ejemplo, el formato predeterminado para hashformat y totalhashformat

251

Traducido por Sykrayo Espaa

son: hashformat = "# window_start # - # window_end: # almohadilla #" totalhashfor-mat = "Total (algoritmo # #): # almohadilla #" La estructura FORMATO acepta los siguientes cdigos de escape:

252

Traducido por Sykrayo Espaa

\ NNewline \ TTab \ Regreso rCarriage \ \ Inserte el carcter '\' # # Introduce el carcter '#' como texto, no es una variable BLOQUES y BYTES pueden ser seguidos por los followingmultiplicativesuffixes: XMM, c1, c2, B512, kD 1000, K 1024, MD 1.000.000, M 1.048.576, GD 1000000000, G 1073741824, y as sucesivamente para T, P, S, Z, Y.Each palabra clave puede ser: asciifrom EBCDIC a ASCII ebcdic de ASCII a EBCDIC ibmfrom ASCII a EBCDIC alternado blockpad registros de lnea nueva terminadas con espacios para cbs-size desatascar reemplazar los espacios finales en los registros cbs-size con salto de lnea lcasechange maysculas a minsculas notrunc no truncar el archivo de salida ucasechange minsculas a maysculas swabswap cada par de bytes de entrada

noerror continuar despus de errores de lectura syncpadeveryinputblockwithNULs a ibs-size, cuando se utiliza con bloquear desbloquear, rellenar con espacios en lugar de NULs o

253

Traducido por Sykrayo Espaa

e2recover: Recuperar archivos borrados en sistemas de archivos ext2. Desarrollado por Aaron Crane. Disponible desde http://www.ibiblio.org/linsearch/lsms/e2recover1.0.html La siguiente es tomado de la orden: e2recover - help
Uso: e2recover [OPTION] ... [LSDEL-FILES] ... Intento de recuperar archivos borrados de un sistema de archivos ext2, utilizando la salida (en LSDELArchivos) del comando "lsdel" en la entrada debugfs.Standard se lee si no hay nombres ningn archivo se dan o en un nombre de archivo de `- '. Los archivos recuperados se guardan en el directorio temporal adecuado, con nombres como` e2rec.PID.DEV.INUM' Utiliza las variables de entorno. $ FSGRAB y $ debugfs para encontrar esos programas, o se ve en $ PATH si es desarmado. -B, - block-size = sistema de archivos BLOCKSIZEthe tiene bloques de BLOCKSIZE bytes (por defecto: 1024) -D, - device = sistema de archivos DEVICEthe est en el dispositivo (Por defecto: / dev/hda1) -G, - supongo-indirectstry para recuperar archivos con indirecta a cero bloques por el supuesto de que no haba fragmentacin en ese archivo -T, - tmpdir = TMPDIR, escribir los archivos recuperados a TmpDir - Tempdir = TMPDIR (predeterminado: $ {TMPDIR :-/ tmp}) - Helpdisplay esta ayuda y salir - Version versiondisplay informacin y salir BLOCKSIZE puede tener un sufijo multiplicador opcional: w para 2, b de 512, k 1024, m para 1Meg.BLOCKSIZE debe ser un mltiplo exacto de 512 bytes. para

Para obtener ms informacin, consulte la Ext2fs Linux Undeletion mini-HOWTO de Aaron Crane, ubicado en http :/ / www.faqs.org / docs / Linux-mini/Ext2fs-Undeletion.html

254

Traducido por Sykrayo Espaa

f-prot: F-Prot Antivirus escner. Desarrollado por BRINCAN Software International. Disponible desde http:/ / Www.f-prot.com/productos / home_use / linux / Para los usuarios domsticos que utilizan el sistema operativo de cdigo abierto Linux, ofrecemos F-Prot Antivirus para estaciones de trabajo Linux. F-Prot Antivirus para estaciones de trabajo Linux utiliza la reconocida F-Prot Antivirus motor de exploracin para la exploracin primaria, pero ha adems que un sistema de heurstica interna diseado para buscar virus desconocidos (Frisk Software International, 2006). F-Prot Antivirus para Linux fue desarrollado especialmente para erradicar efectivamente los virus que amenazan a las estaciones de trabajo que ejecutan Linux. Ofrece una proteccin completa contra los virus de macro y otras formas de software malicioso - incluyendo troyanos. F-Prot Antivirus puede detectar un total de 232.593 gusanos, virus y otros programas maliciosos (Frisk Software International, 2006). Una versin de interfaz grfica de usuario de este programa tambin est disponible. La siguiente es la pgina de manual de f-prot.
NOMB RE

f-prot - F-Prot Antivirus para UNIX, la lnea de comandos escner

La sintax f-prot [opciones] [archivo o directorio] is de la

DESCRIPCIN f-prot f-prot es una herramienta para el anlisis de los archivos individuales o rboles de directorios en busca de virus. Las opciones seleccionadas determinar qu mtodos se utilizan para el escaneo. Por defecto f-prot analiza todos los archivos, incluidos dentro de los archivos e informes a STDOUT. F-prot slo muestra los archivos que se encuentran a la infeccin.

Opciones de informes Bydefaultf-protreports a STDOUT, y slo muestra los archivos que se han encontrado para ser infectado.

-Aadir Anexar al archivo de informe existente. -Help Muestra breve resumen de las opciones disponibles para F-Prot Antivirus. -List Muestra una lista de todos los archivos que han

255

Traducido por Sykrayo Espaa

sido controladas. -Nobreak No cancele exploracin si se pulsa ESC. De edad No le d un mensaje de advertencia cuando se utilizan archivos DEF obsoletos. -Pgina solamente una salida de pantalla a la vez.

256

Traducido por Sykrayo Espaa

-Informe = <report_name> Guardar resultado en el archivo <report_name>. -Silent No genera ninguna salida de pantalla. Esto puede ser til en el caso de ejecucin f-prot en un cron job y el uso de la opcininforme. -WrapWrap outpput texto para que se ajuste en 78 columnas. Esto tambin se aplica al archivo que se utiliza con la opcin-report.

OPCIONES DE LECTURA Por defecto f-prot analiza todos los archivos, incluyendo el interior de los archivos.

-AiEnable deteccin de virus de red neuronal. El-ai opcin no se debe utilizar con la opcin-noheur. -Archive = n [por defecto es 5] Escanear dentro de archivos n niveles soportados profundo, el intervalo admitido se encuentra entre 1 y 99. La forma ms antigua '-archive' es apoyado por razones de compatibilidad, en cuyo caso n se establece en 5. Archivos soportados son. Zip,. Cab,. Tar,. Gz,. Lzh y archivos. Arj. Actualmente F-Prot Antivirus no es compatible con la desinfeccin o eliminacin de archivos infectados dentro de archivos comprimidos. Buzones de correo de Unix se considera que son los archivos y por lo tanto, F-Prot Antivirus no es capaz de eliminar los archivos adjuntos infectados de los buzones. -Servidor [default] Los intentos toidentifyinfectionswithinpasswordprotected archivos. "Servidor" implica "-archive = 5". -Noserver Doesnotattempttoidentify infecciones dentro contrasea proarchivos protegidos. -AutoAutomatically eliminar los virus detectados. Como se seal anteriormente, esto no funcionara con ficheros archieved. -Collect Scana viruscollection. Esta opcin est pensada para avanzados los usuarios. Cuando se utiliza esta opcin lo har, por ejemplo, scanforbootsectorviruses withinfiles, eventhoughthevirus reside en un archivo en lugar de un sector de arranque. -Eliminar Eliminar los archivos infectados. Isrequired.However confirmacin del usuario, el-autooptioncanbeused toautomatically confirmar la accin. F-Prot Antivirus hace No supportremovalofinfected objetos situados en los archivos. Adems, la opcin de la cancelacin no afecta a documentos de Office, ya que podran provocar la prdida de trabajo. -Desinf Desinfectar

siempre

que

sea

posible.

Es

necesaria

la

210

Traducido por Sykrayo Espaa

confirmacin del usuario. CmoAlguna vez, el auto-opcin se puede confirmthe automticamente utilizar para action.F-ProtAntivirusdoesnotsupportdisinfectionof objetos infectados ubicados en los archivos. -Mudos [default]

211

Traducido por Sykrayo Espaa

Analiza todos los archivos Archivos por contenido typeScan. Por f-protscansallfiles.By utilizando la opcin-tipo por defecto, se indica que el escner para limitar la bsqueda de la digitalizacin de contenidos. -ExtScan slo los archivos con extensiones predeterminadas. Por exploraciones opcin allfiles.Byusingthe-ext f-prot defecto, se indica que el escner para limitar la bsqueda a los archivos con extensiones predeterminadas. De seguir Siga los enlaces simblicos. Esto debera ser usedwithcare, asthe programdoesnotdetect directorios "circulares", y puede quedar atrapado en un bucle sin fin. -Noheur Desactivar el anlisis heurstico. El-noheur opcin no se debe utilizar con la opcin-ai. -Nosub No analizar subdirectorios. -Onlyheur Utilice slo heurstica, no buscar las firmas de virus conocidos. Al utilizar esta opcin F-Prot Antivirus slo detectar una fraccin de los archivos infectados. Lleno de [default] Desembale comprime ejecutables. No hay que corresponde Opcin-nopacked. Esta opcin se proporciona por razones de herencia. -Cambiar el nombre Cambiar el nombre de las extensiones de los archivos infectados para evitar que se ejecute, por ejemplo, el cambio de nombre a file.com file.vom y file.exe a file.vxe. Esto no impide que los archivos se ejecuten en Unix ya que por un lado. Exe y. Com archivos de Win-dows no pueden ejecutarse en una plataforma Unix por defecto, y en las otras extensiones de archivo de mano no se utilizan en los sistemas Unix con se refiere a la ejecutabilidad.

MACRO opciones de exploracin Por exploraciones f-prot predeterminados de macro dentro de los tipos de archivos conocidos.

-Nomacro No escanear en busca de virus de macro. -Onlymacro Slo escanear en busca de virus de macro. -RemoveAll Eliminar todas las macros de todos los documentos. Cuando esto optionisused con-Desinf o-delete se eliminarn todas las macros detectadas.

212

Traducido por Sykrayo Espaa

-Removenew Retire nuevas variantes de virus de macro evacuando a todas las macros de los documentos infectados. -Saferemove Eliminar todas las macros de los documentos, si se encuentra un virus conocido.

213

Traducido por Sykrayo Espaa

OPCIONES DE INFORMACIN Estas opciones de informacin son independientes, youcannotcombinethem withotheroptions. (La informacin de versin que se muestra por verno estn incluidos en el comienzo de cada informe de anlisis por defecto).

-Verno informacin de la versin Show. -Virlist Lista de virus conocidos por F-Prot Antivirus archivos de firma withthecurrentvirus. -Virno Givestatisticalinformationaboutvirusesknownto F-Prot Antivirus con los archivos de firmas de virus actuales.

CDIGOS DE SALIDA DEL PROGRAMA 0Normal exit.Nothing encontrado,

no hicieron nada.

1Unrecoverable error (por ejemplo, falta de archivos de firmas de virus). 2Selftest fall (programa ha sido modificado). Se encontr 3Al menos un objeto infectado por el virus. 4Reserved, actualmente no est en uso. Terminacin 5Abnormal (escaneo no termin). Se elimin 6En un virus menos. 7Error, sin memoria. Se encontr 8En menos un objeto sospechoso. 9En menos un objeto era notscanned (encryptedfile, UNSUPportado mtodo de compresin / unknown, archivo no admitido / unknown for-mato, archivo daado o no vlido). 10AT no sea un objeto de archivo no fue escaneado (contiene ms de N niveles de archivos anidados, como se especifica con-archive interruptor).

214

Traducido por Sykrayo Espaa

Fatback: Analizar y recuperar archivos FAT eliminados. Desarrollado por Nicholas Puerto del DoD Computer Forensics Lab. Disponible desde http://prdownloads.sourceforge.net / biatchux / Fatback es una herramienta forense para undeleting archivos de sistemas de archivos FAT de Microsoft. Fatback es diferente de otras herramientas de deshacer la eliminacin, ya que hace lo siguiente: Se ejecuta en entornos UNIX (slo Linux y FreeBSD probados hasta ahora) Puede recuperar archivos de forma automtica Soporta nombres largos de archivo Soporta FAT12, FAT16 y FAT32 Modo interactivo de gran alcance Recursivamente Recupera directorios borrados Recupera las cadenas de racimo perdidos Funciona con particiones individuales o discos enteros

La siguiente es tomado de la orden: Fatback


Uso: Fatback [ARCHIVO]-l [LOG] [OPCIN] ... Recuperar archivos de sistemas de archivos FAT. Fatback v1.3 (C) 2000-2001 DoD Computer Forensics Lab -O, - output = DIRspecifies un directorio para colocar los archivos de salida -A, - el modo de recuperar AUTOAUTO. no interactiva recupera todos los archivos borrados -L, - log = LOGFILEspecifies un archivo Registro de auditora a. -V, - informacin adicional verbosedisplay a la pantalla. -P, - partition = PNUMgo directamente a la particin PNUM -D, - delprefix = PREFIXuse PREFIJO para significar los archivos borrados en lugar del default "?" -S, - singleforce en modo de una sola particin -Z, - sectsize = SIZEadjust el tamao del sector. predeterminado es 512 -M, - mmapuse mmap () Archivo de I / O para un mejor rendimiento -H, - Helpdisplay esta ayuda errores pantalla Inform a <harbourn@dcfl.gov> e

La siguiente es tomado de la Fatback-manual.info del http :/ / prdownloads.sourceforge.net / biatchux /Fatback-1.3.tar.gz


Usando Fatback ************* Con el fin de atender a los usuarios una variedad de niveles de experiencia, Fatback ofrece dos maneras de interacting.The primer mtodo se denomina modo "automtico" y de entrada se da nicamente en el mtodo line.This comando es para los usuarios que simplemente quieren recuperar todo archivos (o slo los archivos borrados) de una particin y no ser molestado por los detalles. El segundo mtodo se denomina modo "interactivo" mode.In interactiva, un usuario interacta con Fatback a travs de un intrprete de comandos que imita la apariencia de un modo tradicional

215

Traducido por Sykrayo Espaa

UNIX shell.Interactive se recomienda para usuarios que quieren hacer Restauracin de ms avanzada.

216

Traducido por Sykrayo Espaa

No hay diferencia en la tcnica de recuperar de los dos diferentes modes.When un usuario ejecuta Fatback en el modo automatizado, que se ejecuta realmente predefinido o "enlatada" comandos a travs del intrprete Fatback. La nica limitacin del proceso automatizado de una sola particin. modo (desde la versin 1.3) es que slo se

Para ejecutar Fatback, escriba el nombre del programa (`Fatback '), a continuacin, escriba las opciones que desee pasar a Fatback.The ltimo argumento en la lnea de comandos debe ser el nombre de la file.Here entrada es la sintaxis del comando: OPCIONES FATBACK archivo de entrada Las opciones pueden ser una letra o una palabra, y pueden o no requerir ningn ejemplo arguments.For, para especificar un archivo para colocar el registro de auditora en, es posible que pueda utilizar 'del pabelln o el `- registro de los`-l. flag.These opciones requieren un argument.To especificar el argumento necesario con el `-l' opcin, use`-l archivo "para especificar el argumento con la opcin `- log 'opcin, use` - log = FILE. El archivo de entrada puede ser un dispositivo (un archivo en el directorio `/ dev ') o una imagen de un disco o particin.

Registros de auditora ========== Fatback utiliza registros de auditora que lleve un registro de las operaciones realizadas en un session.The datos registra incluye los comandos que el usuario escribe, la lnea de para ejecutar comandos que se utiliza el programa, el entorno de los usuarios, la informacin sobre el ser analizado, particin y la informacin acerca de cada archivo que se recuper. De forma predeterminada, el registro de auditora se escriben en un archivo llamado `fatback.log 'en el tienda actual directory.To el registro de auditora a una ubicacin, utilice la opcin diferente o `- Interruptor = FILE registro. `-l FILE

Opciones de lnea de comandos ==================== Fatback versin 1.3 proporciona la siguiendo el mandato Opciones de la lnea:

`-A ' `- Auto ' Ejecutar Fatback en modo automtico recuperar mode.This intentar recuperar todos los archivos borrados de una que slo particin determinada, y partition.If los datos de entrada es una unidad con particiones, utilice el nmero de `-p 'o` - partition = NMERO "opcin para especificar la particin de usar. `-O directorio ' `- Output = DIRECTORIO ' Lugar recupera archivos en el directorio specified.If Fatback se ejecuta en el modo de recuperar automtico, o si se realiza una

217

Traducido por Sykrayo Espaa

copia recursiva, se crearn los subdirectorios debajo del directorio de salida que corresponden a los directorios en la particin que Fatback est trabajando. `-L archivo de registro ' `- Log = log-file ' Coloque el registro de auditora en el archivo especificado.

218

Traducido por Sykrayo Espaa

`-V ' `- Verbose ' Muestra informacin extra a la pantalla. `-P particin-bd ' `- Partition = particin-bd ' Procesar una particin especfica de una particin en coche.La es necesario utilizar el modo automtico con un modo interactivo drive.In particionado, el men de la particin ser anulada. `-D ' `- Delprefix = prefijo ' Usar prefijo que el principio del nombre de files.The borrado valor predeterminado es '?'. `-S ' `- Single ' Trate de entrada como una sola particin sin comprobar particiones. `-Z SECTOR DE TAMAO" `- Sectsize = SECTOR DE TAMAO" Utilice SECTOR-tamao que el tamao del sector de los datos de entrada en lugar de la defecto valor de 512. `-H ' `- Help ' Muestra una pantalla de ayuda y poner fin a `-V ' `- Version ' Muestra el nmero de versin Fatback y terminar.

La intrprete Fatback ======================= Si Fatback se ejecuta sin la `-a 'o` - auto' opcin, entra en lo que se llama "Interactivo" mode.In modo interactivo, Fatback le da un aviso para que puedas introducir comandos y Fatback directa para realizar tareas ms la automtica especficas que el modo de recuperar. de entrada es una unidad de particionado, Fatback ser primero mostrar un men de posibles particiones y por el que te gustara trabajar with.Fatback entrar en la A particin y usted puede comenzar a explorar y recuperar archivos de continuacin, rpido! El intrprete de comandos es el modelo libremente despus de la shell clsico UNIX medio El intrprete ofrece un prompt ('Fatback>' por defecto), y la mmica ambiente. varios comandos de shell UNIX como `ls ',` cd', `pwd ',` cp', y muchos otros. Versin 1.3 Fatback tiene los siguientes comandos: `Cd ' Si el

Cambie a un directorio especificado

`Copy '

219

Traducido por Sykrayo Espaa

`Cp ' Copiar archivos a un sistema de archivos externo

`Ayuda ' Muestra una lista de comandos y una breve descripcin de cada

220

Traducido por Sykrayo Espaa

`Dir ' `Ls ' Entradas de la lista de un directorio `Pwd ' Escriba el nombre del directorio actual `Stat ' Muestra informacin detallada acerca de una entrada de directorio `Cadena ' Muestra la cadena de clster para una entrada de directorio `Cpchain ' Copiar una cadena de clsteres en un archivo `Lostchains ' Mostrar una lista de cadenas de racimo perdidos en la particin actual `Sh '

Ejecutar un comando en

el medio ambiente fuera

`Set ' Establezca las variables de tiempo de ejecucin dentro Fatback `Hecho ' Dejar de trabajar con la particin actual o salida Fatback si est en modo de una sola particin. 'Quit' Salir Fatback El 'copia' comando es sinnimo de `cp 'y el comando` dir' es sinnimo de con el alias de `ls` dir 'fueron creadas para dar a los usuarios que utilizan principalmente'. El 'copy' y DOS una interfaz Sin embargo, el intrprete Fatback fue diseado para imitar familiar. un Shell UNIX, por lo que la forma `cp 'y` ls' se prefieren y utilizan toda la documentacin. Es importante sealar que es Fatback entradas de directorio sensitive.All mismo caso estn en maysculas, y algunos pueden tener un nombre largo de archivo (* nota nombres de archivo largos ::) asociado a l que puede ser en maysculas y minsculas. Al especificar las entradas de directorio debe usar el nombre exacto maysculas, o el largo archivo name.To especificar un nombre de archivo largo que contiene espacios en blanco, poner el nombre completo en el ejemplo de doble quotes.For, el `Archivos de programa" en un directorio de sistema de Windows se puede especificar ya sea `PROGRA ~ 1" o `" Archivos de programa "".

El comando `cd ' ---------------El comando `cd 'tiene la siguiente sintaxis: cd DIRECTORIO Este fijar el directorio actual DIRECTORY.DIRECTORY puede ser cualquier nmero de

221

Traducido por Sykrayo Espaa

capas ms profundas de la directory.For actual ejemplo, para cambiar al 'sistema' directorio bajo el directorio `ventanas 'en el directorio raz, deber ejecutar el siguiente comando: cd / windows / system

222

Traducido por Sykrayo Espaa

nombres de directorio `. ' y '..' estn reservados para la especificacin de ruta relativa `purposes.The '. es una entrada de directorio que representa su ejemplo directory.For padres, especificando `MYDIR /. es lo mismo que si se especifica `MYDIR 'porque el'. ' indica su padre, que es `MYDIR '. Del mismo modo, el` ..' entrada especifica el padre directorio del directorio padre de itself.An ejemplo de esto sera `MYDIR / SUBDIR / .. ', lo que por supuesto ser el mismo que` MYDIR'.

La

El comando `cp ' ---------------El comando `cp 'se utiliza para copiar archivos desde el entorno Fatback a la system.It archivo host tiene la siguiente sintaxis: cp OPCIONES DE ARCHIVOS A-DIRECTORIO Los archivos pueden ser especificados como cualquier nmero de nombres de archivo o patterns.Patterns se utilizan para especificar varios archivos a la vez mediante el uso de secuencias especiales de characters.The la mayora de patrones utilizados son '*', '?' Y `[] '. El '*' carcter se utiliza para especificar cero o ms caracteres de cualquier tipo, '?' especifica un carcter de cualquier tipo, y `[] 'especifica un nico carcter de un conjunto especfico.

Patrones ........ Cuando se utiliza por su auto, el carcter '*' coincidir con directory.For todos los archivos de una ejemplo, el siguiente comando que copiar todos los archivos en el directorio actual a la `/ Mnt / data 'en el sistema de archivo de hosts: cp * / mnt / data El '*' personaje tambin puede ser usado en conjuncin con other.For ejemplo, el siguiente comando copia todos los archivos que terminan en `exe." En el directorio de datos '`/ mnt /: cp *. exe / mnt / data He aqu un ejemplo del uso de los '?' carcter para copiar todos los archivos de la `SETUP 'directorio que tengan un carcter de una ampliacin de la` / mnt / data' del directorio: cp PARAMETROS / *.? / Mnt / data El [] patrn `'es un poco ms compleja que los ejemplos anteriores. Entre la escuadra izquierda y derecha es donde un conjunto especfico de caracteres coincidentes es specified.For ejemplo, el patrn '[Abc]' coincidir con la letra 'a', 'b', o 'c'. Rangos o personajes tambin ser especificado usando la opcin `- carcter 'entre otros dos pueden personajes. Con esta sintaxis, todas las letras del alfabeto se pueden especificar utilizando el `[Az] '. patrn Los patrones pueden ser combinados para una mayor energa.Si copiar todos los archivos de la

223

Traducido por Sykrayo Espaa

directorio actual que comienzan con un nmero terminan con la extensin '. dat' a la y `/ Mnt / data ', el siguiente comando se puede utilizar: cp [0-9] *. dat / mnt / data Para obtener ms informacin sobre la sintaxis de los patrones, consulte sus pginas del manual de sistemas bajo pegotes (7).

`Opciones de comando cp '

224

Traducido por Sykrayo Espaa

.................... El `cp 'comando acepta dos opciones`-d' y `-R '. La opcin`-d' opcin dice `cp 'a slo copiar los archivos que se eliminan, y saltear archivo activo entries.The `-R 'opcin hace que el comando recurse por cualquier subdirectorios que finds.To Recuperar todos los archivos de una particin en el` / mnt / data' directorio, use el siguiente comando: cp-d-R / * / mnt / data

El comando `ls ' ---------------El `ls 'se utiliza para mostrar las entradas en una siguiente: ls DIRECTORIO Las entradas en el directorio indicado se displayed.If se especifica ningn directorio, las entradas en el directorio actual son directorios displayed.Multiple tambin se pueden mostrar al mismo tiempo, mediante la especificacin de ms de un directorio, o mediante el uso de un patrn. sintaxis directory.The para `ls 'es tan

El `stat ' Comando -----------------El `stat 'comando muestra informacin detallada acerca de una informacin entry.This directorio incluye toda la informacin mostrada por` ls', adems de informacin adicional como la cadena de clsteres y la fecha de `Comando stat 'tiene la siguiente creacin. La sintaxis: estadsticas ARCHIVOS

El comando `cadena ' ------------------La 'cadena' comando muestra la cadena de grupo de una entrada de directorio o la sintaxis dada entries.The para la `cadena 'es: ARCHIVOS cadena La salida de la ejecucin del comando `cadena 'ser una serie de nmero numbers.Each representa un grupo de la tabla FAT que ocupa la entrada.

El comando `cpchain ' --------------------El `cpchain 'comando escribe los datos en una cadena de clsteres a un file.It' s sintaxis es la siguiente: CADENA cpchain a archivo CADENA es un valor el cluster de comienzo de la cadena de clsteres para ser numrico de escrita out.TO-FILE es donde Fatback almacenar los datos en el sistema de archivos host.

225

Traducido por Sykrayo Espaa

El comando `sh ' ----------------

226

Traducido por Sykrayo Espaa

El `sh 'comando ejecuta un comando en el environment.It fuera sintaxis s es simplemente el comando` sh' seguido por cualquier comando que normalmente se ejecute en un shell prompt.This puede ser til si, por ejemplo, se ejecut accidentalmente Fatback antes ha montado el sistema de archivos donde se pretende colocar a los archivos que se van a recuperar to.In este caso, se puede ejecutar el comando mount en un comando `sh 'as: SH mount / dev/ad0s1 / mnt / extra-hd En un plano ms avanzado, el `sh 'se lleva a cabo con un mejor manejo de seales que no est presente en la `sistema UNIX estndar () 'function.This hace que sea posible para ejecutar los procesos, incluso peligrosas sin el riesgo de estrellarse el proceso padre (Fatback en este caso). En otras palabras, no teme el comando `sh ', ya que slo se traer fortuna para ti. buena

El comando `set ' ----------------El comando `set 'se utiliza para establecer las variables de tiempo de ejecucin, as como modificar el actual Tabla FAT. Para establecer las variables de tiempo de ejecucin, utilice la siguiente sintaxis: establecer VARIABLE = VALOR La tabla FAT puede ser modificado mediante la siguiente sintaxis:

grupo conjunto-cuenta = VALOR GRUPO NMERO-representa una entrada en la tabla FAT y valor es el clster que que los puntos de entrada to.When una entrada de la tabla FAT es modificado con 'set', los cambios no son puramente temporal y residente en memoria solamente. Si el `set 'comando se ejecuta sin argumentos, a continuacin, se mostrar una lista de las variables en tiempo de ejecucin y sus valores asociados.

El comando `hecho ' -----------------Si la entrada de Fatback es una unidad dividida, luego de ejecutar el comando `hecho ' causar Fatback para terminar de editar la particin actual y volver a la particin menu.Otherwise, si la entrada es una sola particin, ejecute el comando `hecho 'har que Fatback termine.

El comando 'quit' -----------------A diferencia de la `hecho 'comando, la ejecucin de la` para dejar de fumar' har que Fatback para terminar con independencia de si la entrada es slo una particin o varias particiones.

Variables de tiempo de ejecucin

227

Traducido por Sykrayo Espaa

================== Fatback proporciona las variables en tiempo de ejecucin como una forma de configurar dinmicamente el comportamiento de su ejecucin durante la segunda vuelta de time.Variables se establecen y se ve con el Comando 'set'. Aqu est una lista de las variables en tiempo de ejecucin de la versin 1.3 Fatback:

228

Traducido por Sykrayo Espaa

`Verbose ' La variable que determina si se muestra o no la informacin adicional en la pantalla. `Sectsize ' El tamao de para Fatback utilizar al hacer calculations.This sector por defecto es 512, pero si una unidad de entrada utiliza un tamao diferente y Fatback no lo detecta correctamente, a continuacin, establecer esto hand.This variables tambin se pueden establecer a travs de la lnea de comandos utilizando la opcin `-z 'o Opcin `- sectsize '. `Rpido ' La cadena que Fatback utiliza para solicitar al user.This es fijado por por defecto a Esto probablemente ser de poco inters 'Fatback>'. para la mayora de usuarios finales, sin embargo, es importante tener en cuenta a alguien que, por ejemplo, planea escribir scripts de automatizacin personalizadas mediante Esperar (1). `Showall ' La variable que determina si se muestra o no archivos que no sean borrados cuando el comando `ls 'es variable executed.This se puede establecer ya sea `on 'o `Off '. Si se establece en` on', entonces todos los archivos se se muestra con el `Ls 'command.Otherwise, si est en` off' Se mostrarn los archivos slo entonces eliminados. `Deleted_prefix ' La cadena que Fatback utiliza como la primera parte del nombre del valor predeterminado files.The eliminado es '?'.

229

Traducido por Sykrayo Espaa

faust.pl: Analizar elf binarios y secuencias de comandos bash. Desarrollado por Frederic Raynal. Disponible desde http://www.security- labs.org/index.php3? page = faust La siguiente es tomado de http://www.security-labs.org/index.php3? Page = faust Fausto es un script en perl que ayuda a analizar los archivos que se encuentran despus de una intrusin o el compromiso de un honeypot. Su objetivo no es hacer el anlisis, pero para extraer los fragmentos de informacin que _you_ utilizar despus en su anlisis. Anlisis Elf Informacin general: MD5, el tipo de estadsticas, cabeceras, bibliotecas dinmicas. Secciones Elf: seleccione las secciones Elfo que desea buscar, y cmo desea mostrarlos (Cdigo asm o cadenas, por ejemplo). Smbolos: si el binario no se elimina, los smbolos se extraen y ordenados por categoras. cadenas: todas las cadenas se puede extraer mediante la cadena (tener cuidado de que usted consigue ms cuerdas mirando directamente en algunos tramos). anlisis (arriesgado) en vivo: seleccione el modo que desee (cmd o trace) para ejecutar el programa de anlisis y obtener la informacin asociada. Scripts Bash Informacin general: MD5, escriba. Textos: comentarios en el guin, y los mensajes se hizo eco. Comandos: por defecto cp, mv, ftp, wget y electrnico se muestran. Se reportan acceso a / etc, / dev y / home: Directorios. Referencias Cruzadas: para cada lnea de juego una de las categoras anteriores, Fausto hace un seguimiento de donde pertenece. El anlisis de un binario se compone de 2 partes: anlisis muertas y vivas Un "anlisis de muertos se centra en la informacin contenida en el binaryitself. Puede provenir de varios lugares, dependiendo del formato binario, y el programador. Por ejemplo, puedo recuperar el texto que aparece por un poco modificado explotar la url de un sitio web de alguien probablemente relacionado con el intruso. Entonces tengo fotos de l y algunos de sus (nia) amigos entre otras herramientas! Los nombres de las funciones de algunas variables globales son tambin muy instructiva si el cdigo est relacionado con algo conocido. Desafortunadamente, si este binario es nuevo, entonces usted no puede permitirse llevar a cabo una obra de ingeniera inversa real. Un anlisis "en vivo" mira lo que hace el programa al ejecutarlo. Usted entiende inmediatamente lo peligroso que puede ser: imagino que es un malware incrustado en el binario, o una instruccin oculta ("rm-rf /", incluso como usuario no root es bastante destructiva). As que, por defecto, este anlisis no se hace por fausto ... pero puede hacerlo de una manera muy simplista. Uso: faust.pl [-c archivo de configuracin] [-q line citado] <file1 archivo2 ...> 230

Traducido por Sykrayo Espaa

Ejemplo (consultar el ejecutable ls local): faust.pl-c / usr / local / bin / ls faust.conf

231

Traducido por Sykrayo Espaa

Fenris: depuracin, seguimiento, descompilacin. Desarrollado por Michal Zalewski. Disponible desde http://www.bindview.com / Servicios / RAZOR/ Utilities / Unix_Linux/ Fenris_index.cfm Fenris es un trazador de usos mltiples, GUI del depurador, stateful analizador y descompilador parcial destinadas a facilitar el seguimiento de errores, auditoras de seguridad, cdigo, algoritmos, anlisis de protocolos y la informtica forense - Informacin general sobre construcciones internas que proporciona un rastro programa estructural, capacidades de depuracin interactivas, ejecucin ruta, operaciones de memoria, I / O, expresiones condicionales y mucho ms. Debido a que no requiere de fuentes o cualquier mtodo de compilacin concreto, este proyecto de mltiples componentes puede ser muy til para las pruebas y evaluaciones de recuadro negro - sino que tambin ser una gran herramienta para las auditoras de los proyectos de cdigo abierto, como un incomparable herramienta de reconocimiento en tiempo real - especialmente cuando las fuentes son demasiado complejos o demasiado mal escrito para ser analizados a mano de una manera fiable y razonable. Fenris no se basa en GNU libbfd de las tareas crticas, y por eso, es posible y viable para rastrear y analizar los binarios modificados para engaar a los depuradores, encriptado o ajustado lo contrario. Componentes Fenris tambin apoyan otros, depuradores o desensambladores independientes, gracias a su capacidad para reconstruir las tablas de smbolos de Stripped, binarios estticos sin depuracin o informacin de smbolo alguno. (Zalewski, 2002) Este proyecto no est diseado para encontrar los problemas, errores o vulnerabilidades de seguridad de forma automtica. Se supone que es una herramienta fiable, til que funciona en el mundo real y puede entregar informacin valiosa que se puede usar para detectar problemas conocidos, sino tambin de detectar condiciones dinmicas nicas o no tan obvio. (Zalewski, 2002) Entre muchas otras caractersticas, Fenris es capaz de realizar tradicional, instruccin por instruccin o punto de interrupcin al punto de interrupcin de depuracin interactivo mejorado por los datos estructurales adicionales sobre el cdigo entregado al usuario, sino que es capaz de funciones de huellas dactilares en binarios estticos, reconstruir las tablas de smbolos en archivos ELF sobre la base de esa informacin, detectar de forma automtica cdigo de la biblioteca comn, capaz de ofrecer, salida navegable basado en texto y grfico que documenta diferentes aspectos de la actividad del programa en diferentes capas de abstraccin, capaz de realizar un anlisis parcial de los bloques estructurales individuales. Est diseado para facilitar las cosas, llenar el vaco entre el anlisis de cdigo existente y herramientas de depuracin - pero no para sustituir a todos ellos. (Zalewski, 2002) Fenris es un poder increble, y una herramienta compleja. El siguiente fue tomado de http://lcamtuf.coredump.cx/ Fenris / README 232

Traducido por Sykrayo Espaa

Fenris inicio
Fenris [E-PAR = VAL] [-u usuario] [-o archivo] [-L dbase] [-R a: b] [-t nnn] [-P ip: off: val] [-sdyiCSfFmGxpAeq] Programa [Params ... ] Parmetro obligatorio es el nombre del programa, seguido eventualmente de los parmetros del programa. Si, por alguna razn, el nombre del programa tiene que empezar con '-',

233

Traducido por Sykrayo Espaa

debe ir precedido por "-" parmetro. Antes de que el nombre del programa, se puede colocar uno o ms parmetros opcionales, tales como: -O nombre de archivo Esta opcin escribe resultado de archivo en lugar de stderr. Es ms rpido y recomienda en todos los casos. E-PAR = VAL Pone PAR en el medio ambiente. Esto es especialmente til si desea trazar un programa con LD_PRELOAD inusual u otros ajustes que afectara a la funcionalidad de "Fenris 's, si se modifican antes. Se permiten varias opciones-E. -U usuario Ejecutar como usuario. Esta opcin para la raz (vase la seccin 0x04, est disponible cuestiones de seguridad), y har que el programa se ejecute con eficacia determinado usuario. UID GID y grupos complementarios de -R a: b Esta opcin de cdigo de rastros desde el momento eip alcanza el punto A hasta el momento en que llega a b. Gama incompleta puede ser proporcionada - para ejemplo,-R: 0x12345678 trazar cdigo desde el principio hasta EIP 0x12345678 y 0x12345678-R: se iniciar el seguimiento en 0x12345678 y continuar el mayor tiempo posible. NOTA: pensar en ello como puntos gatillo, y no una serie continua. Por ejemplo, si utiliza-R 0x12345678:, pero eip 0x12345678 no se alcanza nunca, aunque 0x23456789 se est ejecutando, traza nunca comience. Esta opcin es una maravilla para el inicio de seguimiento en cierto nivel nido y continuarlo hasta que se salga de este nivel de ejecucin. -L dbase Base de datos de huellas dactilares de carga adicionales (suplementarios). Mltiple Opciones-L permitidos. Si el nombre del archivo no contiene barras inclinadas, Fenris se buscar en los directorios descritos ms adelante en esta seccin. -T nnn La funcin principal es rets nnn de _do_global_ctors_aux. Por defecto, est ajustado a 2, y no tiene que ser cambiado a menos que algo anda muy mal. Debe usar esta opcin si ve que traza termina con '... retorno de la principal' casi de inmediato al inicio (Pruebe a aumentar parmetro-t) o en algn el medio o no punto no llega principal en absoluto (pruebe Sin embargo, esto no debe a disminuir). suceder, en general. El nico caso que yo sepa son HMM 3 binarios (Patchlevel 1.3.1 a, no afecta a 1.3), requieren t-3 en su lugar. -X seg

234

Traducido por Sykrayo Espaa

Usar este prefijo de segmento en lugar del predeterminado (determinado por un binario tpico en su sistema) como un segmento de cdigo. Segmento de cdigo es el segmento de Fenris rastros activamente. Algunos binarios ELF puede ser alterado para iniciar en un segmento diferente - un buen ejemplo de ello es una herramienta crypting ELF Burneye. Direccin del se utiliza por Fenris para algunas operaciones, tales como Segmento de cdigo describir los parmetros, manejo manejadores de seal, la funcin de huellas. Aunque no es absolutamente necesario, es aconsejable pasar este parmetro cuando

235

Traducido por Sykrayo Espaa

adecuado. Pasar el byte ms significativo del cdigo de segmento de la direccin de partida ya que este parmetro (por ejemplo, si su segmento de cdigo comienza en 0x050a0000, utilizar 0x05). -P ip: off: val Esta directiva significa: cambiar un byte en la direccin 'off' a 'val' cuando llega eip 'ip'. Si 'ip' se omite o cero, esta regla se aplicar inmediatamente a los binarios recin asignada (tener en cuenta que algunas regiones de memoria asignadas tarde pueden no estar disponibles en este momento). Indicador de slo lectura por lo general sobreescrito, y para los archivos asignados en la memoria en modo de slo lectura, se genera una copia local de la pgina modificada. Todos los valores que se pasan a este parmetro pueden ser en decimal, o en hexadecimal si es precedido por 0x, y mltiples opciones son posibles. Las participaciones no IP se aplican una sola vez, al principio. Se aplicarn Todos los dems cada vez que se llega a una direccin IP determinada. Hay algunas consideraciones adicionales a tener en cuenta cuando se utiliza junto con el seguimiento a travs de execve () s - ver opcin-e descripcin para los detalles. -S Esta opcin desactiva la deteccin automtica de prlogo. No se recomienda, ya que hace. / trace todo el proceso de vinculacin de Fenris y la inicializacin libc. Sin embargo, en casos excepcionales cuando binario se ha compilado en un sistema extrao, no se admite, esto podra ser una solucin. Para las operaciones a largo plazo, sin embargo, se recomienda ponerse en contacto con el autor siempre y cuando su con este binario (o parte de ella), por lo que ser capaz de aadir soporte para esta construccin concreta. -Y Memoria Reports escribe y lee inmediatamente (sin-y, se inform de acceso a memoria para la funcin de retorno). -C Inhibe el rastreo de las expresiones condicionales. Esta opcin es til si la salida va a ser ledo por humanos, ya que podra disminuir la cantidad de informacin presentada. -S Inhibe la resolucin de funciones de la biblioteca. Esto podra afectar de alguna mejora en la velocidad, pero en general no se recomienda sin una buena razn. -F Rastrear procesos subordinados despus de tenedor () o vfork (). Podra ser til para localizar demonios y tal (sin embargo, podra causar algunos problemas debido a la seal de entrega semntica cambios, consulte 0x07, errores conocidos) -D

236

Traducido por Sykrayo Espaa

No describa los parmetros de funcin. Reduce la cantidad de resultados generados. -F

237

Traducido por Sykrayo Espaa

No funciona de huellas dactilares. Esta opcin es eficaz slo para los binarios estticos, y deshabilitar la carga y visualizacin de las huellas dactilares. Esto no es muy recomendable - para binarios desnudos, hace su vida ms difcil para los binarios con smbolos casi no tiene efecto. Sin embargo, podra reducir el uso de memoria y mejorar la velocidad. -M No rastrear la memoria escribe. Esta opcin reduce la cantidad de producto generado. -I Esta opcin desactiva la sangra, la notificacin de nivel pid y nidificacin. Hace que la salida no estructurales, no estndar, pero ms corto. Esto tambin se romper la compatibilidad con ragnarok. -X Esta opcin hace que Fenris ignorar "retorno de main 'y continuar el rastreo, volviendo al nivel de jerarqua 0. En trminos generales, este No se recomienda en cualquier momento. Si tiene problemas con la 'vuelta de principal "que aparece muy temprano en la traza, prueba con el parmetro re-ajuste-t en su lugar. Si esto no ayuda, al parecer, uno o ms de llamadas o los convenios de retorno utilizados por la aplicacin trazado no son compatibles y no deben depender de los resultados de todos modos. -P Prefijo cada mensaje con eip. Algunos comandos de informe eip, otros no, Esto podra ser til para la depuracin, y es una necesidad si se desea modificar el cdigo ms con la opcin-P. Esta opcin es compatible con los tarde ragnarok. Tenga en cuenta que la informacin no se muestra en algunos uniformes manera. Por ejemplo, las llamadas al sistema se visualizan despus del regreso, las funciones locales se muestran antes de la llamada - por lo que toma un poco de tiempo para conseguir la idea. -Un Suponga que todas las funciones devuelven un valor, independientemente de las dems condiciones. Esto desencadenar algunos valores devueltos sin sentido reportados, pero es til si el binario est muy optimizado. -Q No reporte ltima lnea de salida en el depurador. Esto slo tiene sentido con-W, y tiene sentido cuando se utiliza un multi-ventana de shell depurador que ya reporta salida Fenris (estamos trabajando en ese shell en este momento). -G "Vete" opcin. Slo se puede utilizar junto con-W, y resulta bsicamente de todas las capacidades de anlisis de Fenris - de rastreo nivel de anidamiento, detectando la funcin / biblioteca / sistema de

225

Traducido por Sykrayo Espaa

llamadas, por medio de muchos otras capacidades. Es til para el cdigo de no-C problemtico. Salida de Fenris ser casi completamente desactivado y ser apoyada slo algunos mensajes de depuracin (por ejemplo, de un solo paso, GetMem, direccin de punto de interrupcin, etc). -E

226

Traducido por Sykrayo Espaa

Traza nuevo cdigo cargado por execve (). Esta opcin puede ser conveniente en algunos casos, pero se debe utilizar con precaucin. Adems, ten en cuenta que la opcin-P ser global y se aplican a la imagen tanto antiguos como nuevos en la memoria, a excepcin de las entradas de No-IP que se aplicaran slo una vez. Para obtener ms informacin sobre las aplicaciones de la informtica forense, es posible que desee visitar http://lcamtuf.coredump.cx/fenris/reverse.txt, donde Trat de dar algunos consejos al acercarse mayo 2002 desafo de ingeniera inversa del Honeynet Project.

Gestin de bases de datos las huellas dactilares


Gestin de base de datos de huellas dactilares es relativamente simple. En primer lugar, Fenris busca una base de datos en los siguientes lugares: . $ / $ / Fnprints.dat HOME / .fenris / fnprints.dat Etc / fnprints.dat HOME / fnprints.dat

Adems, la base de datos las huellas dactilares de encargo se puede especificar-L opcin (mltiples bases de datos permitidos). Lgica de bsqueda Igual se aplica a -L parmetros, a menos que contengan componentes de la ruta ('/'). Esto es razonable para mantener bases de datos de huellas digitales separados, ya que permite a ser selectiva. Por ejemplo, si usted es a punto de remontar 'hoja', usted puede estar bastante seguro de que no va a usar las bibliotecas LibX *, por lo que en primer lugar, lat hacer bsquedas ms rpido y, por tanto, a minimizar posibles falsos positivos a o la confusin causada por la identificacin de algunas funciones de forma incorrecta. A modo de ejemplo, proporciono las impresiones dactilares para bastante viejo, pero todava usado glibc 2.0.7 en support/fn-2.0.7.dat, y las huellas dactilares para libc5 (support/fn-libc5.dat). Tenga en cuenta que, en cuanto a hoy, Fenris probablemente no funcione en sistemas libc5 (tengo que portarlo), pero esto puede ser usado contra los binarios enlazados estticamente tomado de tales sistemas. La base de datos principal se incluye con Fenris en este momento es una base de datos compuesta paratodas las bibliotecas libc para 2.1.x y 2.2.x x86 generados por 2.9x gcc 3.1. Es bastante grande, pero tambin verstil. Si usted cree que tiene sentido mantener las bibliotecas ms pequeas, no dude en enviar hacerlo y me la seleccin! Base de datos de huellas dactilares es un archivo de texto sin formato en el siguiente MD5_SIGN [debug info] nombre_funcion Dnde est la informacin de depuracin "es utilizado por la utilidad de los fprints 'para indicar la fuente (Nombre + offset) del smbolo dado, nombre_funcion se explica por s, y MD5_SIGN es de 8 dgitos hexadecimal MD5 acceso directo para una funcin determinada (vase formato:

227

Traducido por Sykrayo Espaa

seccin 0x05, trazando

mecanismo para obtener ms detalles sobre el algoritmo de hash).

Utilidad "fprints 'acepta cualquier archivo ELF (ejecutables, bibliotecas compartidas o reubicable. O file /. Un archivo) como parmetro y genera firmas para todas las funciones. En realidad no tiene ningn sentido para captar firmas de bibliotecas compartidas, ya que no se utilizan para construir los binarios estticos, por lo que debe dirigirse. Archivos o lugar. Sin embargo, es posible y, a veces razonable para reunir firmas de ejecutables ELF. Permite huella algunas funciones de uso frecuente (por ejemplo, non_dynamic_init o un cdigo comn personalizado utilizado por otros, digamos que Loki utiliza algunos motor comn para sus juegos, usted puede fcilmente funciones de ndice en todos este motor vez y beneficiarse del reconocimiento automtico despus). Tpico de salida se ve as:

228

Traducido por Sykrayo Espaa

[Printf.o 52] printf CC6E587C [printf.o 52] _IO_printf CC6E587C -> Printf.o: hecho (2 funciones) Como puede ver, una de las entradas es slo un alias. Resultados 'fprints' seleccionadas se pueden adjuntar a fnprints.dat archivo de su eleccin. Es importante mencionar que muchas bibliotecas tienen varias entradas para la misma funcin, por lo que 'fprints' no deben ser realmente utilizados para recopilar las huellas dactilares para los grandes. un archivo, como libc. Esta tarea se puede lograr mediante la invocacin de utilidad "getfprints ', que es un shell derivador de scripts en torno Puede procesar todo. Un archivo o fprints. incluso mltiples archivos a la vez, elliminate incautos, y tal. Tenga en cuenta que es perfectamente posible copiar. Unos archivos de un sistema que es no soportado directamente por Fenris, por ejemplo, caja, y el extracto de libc5 firmas en un sistema diferente. Cuando se invoca sin parmetros, 'getfprints' extraern conjunto predeterminado de smbolos de: / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib (Un binario / libc.a / libm.a / libdl.a / libresolv.a / libreadline.a / libtermcap.a / libssl.a / libBrokenLocale.a / libcrypt.a esttico)

Esta es la forma en que se invoca. / Script de creacin, y se puede utilizar en cualquier momento para restaurar los valores predeterminados o para actualizar firmas (para la nueva versin de libc, por ejemplo). Si se invoca con un parmetro, "getfprints la voluntad ir a travs de esto. un archivo o conjunto de sera: archivos. unos. Un ejemplo . / Getfprints "/ usr / lib / libcrypto.a / usr/lib/libmd5.a" Es importante citar la lista de lo que tiene efectivamente un parmetro. De lo contrario, se procesar slo el primer archivo. Digamos que es la pereza de mi final ;-) Archivo de salida predeterminado para 'getfprints' es NEW-fnprints.dat en el directorio actual. Cuando se integra con fnprints.dat existente, por favor Seguro que elliminate engaados el siguiente comando: mediante la emisin de cat NEW-fnprints.dat fnprints.dat | uniq> limpieza new.dat Esta utilidad requiere. / Fprints estn en el directorio actual o en su camino. Otra herramienta que se suministra con el proyecto se llama

229

Traducido por Sykrayo Espaa

'vestido', ms o menos un opuesto a 'pelar'. Se aceptar un binario ELF esttica despojada como un parmetro, y tratar de detectar las funciones de biblioteca. Nombres detectados sern colocados en la tabla de smbolos y se generar un nuevo archivo ELF. El uso es bastante simple: . / Vestido input_elf-este volcar smbolos a la salida estndar . / Vestido input_elf output_elf - esto crear un nuevo ELF con smbolos Opciones adicionales:

230

Traducido por Sykrayo Espaa

-F-nnn usan este archivo de base de datos de huellas dactilares S-xxx-utilizar esta nombre que una seccin de cdigo (override. texto) Tenga en cuenta que los smbolos generados no son GDB informacin de depuracin. En otras palabras, usted puede verlos con nm, objdump, se muestran en gdb desmontaje, pero podra haber problemas estableciendo un punto de ruptura explcita como "Romper printf". Culpa GDB. Como solucin temporal, puede ejecutar vestido sin un segundo parmetro, una vez ms, y tomar direcciones interesantes de la de salida. Disfrute. Recuerde que el "traje" no tiene nada que ver con 'unstrip', que se utiliza para, cito, "sustituir la tabla de smbolos en ejecutables enlazados dinmicamente".

Aegir, el depurador interactivo


El ltimo componente discutido aqu es Aegir, el depurador interactivo. Para obtener informacin para programadores, consulte doc / debug-api.txt. Este breve reportaje que debe ayudar con el desarrollo de mdulos de Aegir o incluso con su propio shell de depuracin de una manera sencilla. reemplazar Funcionalidad de depuracin interactiva entero en Fenris est diseado para proveer instruccin por instruccin, punto de parada a punto de interrupcin y watchpoint a watchpoint capacidades dentro del cdigo local. Este significa que si bien es posible establecer un punto de interrupcin en el cdigo de la biblioteca, en realidad no es posible caminar a travs de las funciones de biblioteca de instruccin a instruccin. Esto se hace por su propio bien, no creo que usted realmente desea depurar con Fenris. Fenris no remonta y nivel de anidamiento libc, as sucesivamente dentro libc, por llamadas a funciones lo que su las posibilidades son limitado de todos modos. Tenga en cuenta muy un rastreador que Fenris no es un depurador de ejecutable, biblioteca, y tratar espacio de la biblioteca ms o menos como el espacio del ncleo - un agujero negro. Nosotros No estn tratando de entender las funciones de la biblioteca, que se documentan y predecible (nota: esto, obviamente, no va a ser verdad para la sospecha de cdigo de carga como una biblioteca compartida; Fenris apoyar dicho cdigo en el futuro). Ahora mismo, me voy a centrar en la funcionalidad para el Ejecucin de Aegir usuario. es muy sencillo, ya que todos los parmetros estn controlados por lo que pas a Fenris, y el nico parmetro que tiene que pasar es el camino que le dio a Fenris usando opcin-W antes. Fenris ya debe estar ejecutando opcin para iniciar Aegir-W con. Aegir se apagar tan pronto como Fenris salidas. Aegir proporciona cierta funcionalidad bsica gdb-igual, sino tambin varias caractersticas ms interesantes. En su versin actual, tambin carece de varias caractersticas, como el soporte para los nombres simblicos en muchos funciones, que pueden ser una molestia menor y deben fijarse en 0,07. La versin GUI de Aegir, nc-aegir, funciona bsicamente de la misma manera, sino que proporciona una pantalla de depuracin

231

Traducido por Sykrayo Espaa

organizada con el registro, vistas de memoria y el cdigo, vista integrada de salida Fenris y automticos control sobre los parmetros de Fenris. nc-aegir integra sesin con Fenris el depurador, y utiliza cualquier herramienta 'screen' (cuando se texto ejecuta en un terminal) o una sesin xterm (cuando se ejecuta bajo el sistema X Window) para proporcionarle un cmodo entorno de depuracin de mltiples vistas. El GUI est documentado por una ayuda explica por disponibles despus de pulsar Alt-H, por lo que no se s mismo cubrir ampliamente aqu. Tenga en cuenta que hay una diferencia fundamental entre la forma Aegir / Nc-aegir y gdb interrupciones mango. Si usted choca con Ctrl + C en Aegir o una orden "stop" nc-aegir o problema, no se detendr de inmediato si el

232

Traducido por Sykrayo Espaa

proceso est en el medio de una llamada de bloqueo. Se programar parar tan pronto como el control vuelve al espacio de usuario. Esto es para evitar problemas con los interrumpid llamadas estilo gdb. Para finalizar el programa inmediatamente, o al sistema, pulse Ctrl + C de nuevo, o utilizar el comando "halt". A continuacin se le indicar si la llamada al sistema se reanudar a continuacin o no, y qu hacer para evitar problemas. Una vez Aegir se est ejecutando, debe tener acceso a la ayuda interna, y todos los mensajes son ms bien fcil de usar. La siguiente lista de comandos se proporciona para referencia ms detallada: - Dinmica Este es probablemente el primer comando para emitir un binario enlazado dinmicamente estndar. Fenris se detiene en primera instruccin, que, para los ejecutables dinmicos, sera el enlazador. Para omitir el proceso de vinculacin de conjunto y prlogo libc, simplemente escriba "din" y esperar un tiempo. Por supuesto, nada le impide caminar a travs del proceso de vinculacin y la entrada libc, pero en la mayora de aplicaciones estndar, no tiene sentido. Por otro parte, puede suceder que ELF es ajustado para ocultar algo de cdigo en esta fase, antes de "main" se alcanza, por lo que esta caracterstica no es automtica en el modo de depuracin interactiva. En algunos sistemas, la ejecucin se detiene al final de la introduccin libc, y "ret" adicional puede ser necesaria. - Disass [x [les]] Llamado sin parmetros, proporcionar un desmontaje de la instruccin en eip actual. Llamado con un parmetro, se desmonte una instruccin en cualquier direccin que se indica. Con dos desmontar parmetros, ser Bytes "len" comenzando en la direccin x. Desmontaje utiliza algo debera que coinciden con AT & T notacin ensamblador, y todas las direcciones directas se relacionan con sus nombres simblicos, en su caso encontrado. Tenga en cuenta que "disass", como la mayora de otros comandos, no entiende nombres simblicos pasado en lugar de 'X'. En otras palabras, usted no puede simplemente escribir "disass function_foo", se trata de una limitacin de la aplicacin Aegir actual. Por otro lado, se lata utilizar directiva para buscar una direccin de un nombre determinado. "info" Tenga en cuenta que este comando se llama con un solo parmetro en nc-aegir cambiar la vista en la ventana de cdigo en lugar de desmontar la consola. - Regs Muestra registros de propsito general. Tenga en cuenta que Fenris en realidad no admite comandos de punto flotante de ninguna manera (gracias a su desensamblador interna), y decidi no incluir fp registra en Aegir por ahora. La mayora de los registros se muestran en hexadecimal y decimal; eflags se muestran como hexadecimal y octal.

233

Traducido por Sykrayo Espaa

- Back Muestra traza de pila - Historial de llamadas. Tenga en cuenta que lo que sucede en libc no se describe aqu. Si establece un punto de interrupcin en syscall "nanosleep", y esto syscall se llama desde una funcin de biblioteca llamada desde otra funcin de biblioteca, todo lo que ves en la pila backtrace dar lugar a la punto en primera funcin de la llamada. Backtrace incluye biblioteca era rango de direcciones de pila que pertenece a esta funcin y otras informaciones, tales como de dnde era llamada. Esta capacidad no se ve afectada por fomit-frame-pointer,

234

Traducido por Sykrayo Espaa

o cualquier otra opcin que se puede confundir gdb. - Act Muestra la ltima salida de Fenris. "La ltima salida" es sinnimo de pasado "entidad de salida", lo que normalmente significa la ltima secuencia de de salida causado por construccin de cdigo. Una instruccin, tales como RET, algunos puede dar lugar a mltiples lneas estn escritas por Fenris. son Todos considerarse una sola entidad. Pero si la siguiente instruccin genera otra lnea, esta lnea se considera una nueva entidad. Fenris general informa a Aegir la ltima entidad producido antes un proceso lleg a un punto de ruptura. "Cur" volver a esta entidad funcionam iento hasta que se contina y se detuvo una vez ms el proceso, y cualquier mensaje de Fenris se gener en el medio. Este mecanismo es un poco complejo, pero funciona bastante bien. Probablemente usted no desea conseguir todo lneas de Fenris en la consola de depuracin, pero tal vez agradecera saber donde se detuvo. - Info x Muestra la informacin asociada con el nombre o la direccin x. En primer lugar, si x no es numrico, la direccin asociada a 'x' se resuelve, entonces, se obtiene informacin adicional sobre esta direccin. Esta informacin adicional es lo que sabe acerca de la direccin de Fenris - nombre asociado, primera vista, ltima modificacin, tamao. - Fdinfo x Muestra lo que sabe Fenris sobre el archivo descriptor x. Esto normalmente incluye el archivo / socket asociado y primer registro vista. - Romper x Establece un punto de interrupcin en la direccin x. Nota: Los puntos de interrupcin se ignoran dentro libc, a excepcin de que estn siendo establecidos en el comienzo de una libcall. De esta manera, usted puede breakpoint en 'printf', pero es generalmente intil para establecer un punto de interrupcin en, por ejemplo, printf 10. En esta situacin, "el paso" continuar hasta el cdigo de la biblioteca es la izquierda, todos los dems comandos afectarn al cdigo que llam a esta funcin de la biblioteca, y no la propia funcin (por lo que "abajo" continuara hasta que se recupere la funcin locales subyacentes, y as sucesivamente). Si puede evitarlo, no establecer puntos de interrupcin dentro de libc :-) Si no, trate de hacer poco ms que "un paso" para volver a donde fue llamado. - Sbreak x Establece un punto de interrupcin en syscall x (x puede ser cualquier valor numrico o un nombre simblico). Se generar trampa Breakpoint cuando este syscall especial

235

Traducido por Sykrayo Espaa

se llama. Si este punto de trampa se genera dentro de libc, especial interrupcin normas mencionadas anteriormente (por "break") se aplican. El mejor uso para este tipo de punto de interrupcin es clon de gancho, vfork y tenedor, por lo que siempre puede reaccionar a ellos antes de que se estn ejecutando. Aegir, en su forma actual, es capaz de rastrear un solo proceso a la vez, as que es probable que desee sobrescribir tenedor () s y mover un valor deseado en% eax elegir una rama u otra. - Ibreak x

236

Traducido por Sykrayo Espaa

Establece un punto de interrupcin en la seal x (x puede ser cualquier valor numrico o un nombre simblico). Trampa de punto de interrupcin se genera cuando se entrega esta seal particular. Tenga en cuenta que la accin predeterminada para Fenris no es dete en las seales a menos que quiera, que es diferente de gdb. ner Las seales se pueden entregar en cualquier parte, y las normas especiales para el cdigo libc aplican. - Rwatch extremo inicial Establece un punto de observacin en el acceso de lectura a la zona de memoria de inicio del ejercicio. Trampa de punto de interrupcin se generar el syscall, conocido haberlas conocido funcin de biblioteca o cualquier cdigo local est intentando tener acceso a la memoria. Fenris no rastrea el interior libcalls, libcalls lo desconocido con el acceso de memoria no se informaron (si se pasa el puntero como parmetro y se detecta automticamente, se considerar "leer" de todos modos). Esto, en general, puede ser un problema. Slo hay una forma razonable de resolverlo, es decir, la aplicacin ms libcalls en Fenris. Otro cuestin importante es que cuando un parmetro se pasa a algunos funcin de biblioteca, esto se notifica como una lectura de cuatro primeros bytes del parmetro. Por favor considerar la biblioteca de lectura y escritura informar slo un toque - Fenris no rastrea fsicamente este cdigo, y hace ciertas suposiciones. Para muchas funciones, es imposible determinar la cantidad de datos se suele leer o escribir (piense "scanf", por ejemplo), y Fenris no tratar de hacer los nmeros. - Wwatch extremo inicial Establece un punto de observacin en el acceso de escritura al rea de memoria de inicio del ejercicio. Trampa de punto de interrupcin se generar si alguna syscall conocido, la funcin de biblioteca de prestigio o de cualquier cdigo local est tratando de escribir la memoria. Fenris no rastrea el interior libcalls, no se inform libcalls tan desconocido memoria escrito (a menos que, por ejemplo, se modifica directamente por una syscall este libcall o tales). llamada de Esto, en general, puede ser un problema. Slo hay una forma razonable de resolverlo, es decir, la aplicacin ms libcalls en Fenris. Otra cuestin importante es que cuando un parmetro se pasa a alguna funcin de biblioteca, esto se notifica como una escritura primero de cuatro bytes del parmetro. Por favor considerar la biblioteca de lectura y escritura informar slo un toque - Fenris no rastrea fsicamente este cdigo, y hace ciertos supuestos. Para muchas funciones, es imposible determinar la cantidad de datos se suele leer o escribir (piense "scanf", por ejemplo), Fenris y no tratar de hacer los nmeros. - El paso [x] Haga uno o ms de los pasos individuales x el cdigo, tenga en cuenta que las

231

Traducido por Sykrayo Espaa

funciones libcall se consideran un solo paso. Consulte las notas de - Ret [x]

"Romper".

Contine con el siguiente o x-th RET en el cdigo. Tenga en cuenta que este comando no tendr en cuenta el cdigo de la biblioteca. - Libc

232

Traducido por Sykrayo Espaa

Contine con el siguiente libcall. Tenga en cuenta que libcalls llamados desde libcalls son ignorados por Fenris. - Sistema Contine con el siguiente syscall. Puede terminar en cdigo de la biblioteca, ver las notas de "break". - Llamar Continuar a la siguiente llamada a la funcin local. - Down Contine hasta que el cdigo deja la funcin actual. Esto es diferente de "ret", como ret puede occour en una funcin llamada de funcin actual antes de la funcin propia corriente alcanza RET. Este Fenris comando utiliza el nivel de jerarqua capacidades de seguimiento para detener el programa. - La prxima Continuar a la siguiente entidad de salida de Fenris. Esto es til para la depuracin de lnea por lnea, y es diferente de "paso". - Ejecutar Continuar la ejecucin hasta el prximo punto de interrupcin (o hasta que el programa se cierra). Una vez ms, tenga en cuenta que las seales no el programa interrumpen menos que haya utilizado "ibreak". - Parada Programa para dejar tan pronto como sea posible. Esto normalmente se realiza tan pronto como el control vuelve al espacio de usuario ("stop" no abortar llamadas al sistema de bloqueo). - Detener Programa de parar ahora. Esto volver a bloquear syscalls abortar ellos (y puede causar problemas, al igual que Ctrl-C en gdb). - Fprint x Cdigo de huella digital en la direccin x. Fenris devuelve una firma y nombres coincidentes para la funcin en esta direccin. Esto se hace en el lado Fenris por lo que se compara con la base de datos de huellas dactilares cargado actualmente, asegurando que los resultados son coherentes con las huellas dactilares automtica. - X y [z] Muestra la memoria en la hexadecimal. Si no se da muestran 16 bytes, de lo especificar la longitud. direccin, como hex y 16 direccin 'y' como un volcado ningn tercer parmetro, primero se contrario, z se utiliza para El formato es muy simple: la lnea. caracteres imprimibles por

233

Traducido por Sykrayo Espaa

16 bytes Tenga en cuenta que este comando se llama con un solo parmetro en nc-aegir va a cambiar la vista de la ventana en lugar de mostrar en la consola de datos. - Y x

234

Traducido por Sykrayo Espaa

Muestra una cadena (ms precisamente, sus primeros 128 bytes), a partir de la direccin x. - Setreg y nnn Establece registro de propsito general 'nnn' con el valor y. No todos los registros se pueden ajustar con ptrace (). - Setmem x y Establece byte de memoria en la direccin x con valor y. - Lista Lista todos los puntos de observacin y puntos de interrupcin, y sus nmeros de identificacin. - Del x Elimina un punto de interrupcin o punto de observacin con ID x. - Memmap [No implementado en 0.04b] Muestra mapa de memoria - todos los objetos que son conocidos, junto con la informacin acerca de ellos. - Fdmap [No implementado en 0.04b] Muestra todos los descriptores de archivos conocidos con descripciones breves. - Fnmap [no implementado en 0.04b] Muestra todas las funciones locales conocidos. - Seales Muestra controladores para todas las seales. - Xxx carga Carga un mdulo de "xxx". Los mdulos se pueden utilizar para implementar funcionalidad personalizada de Aegir, ver doc / debugapi.txt para ms informacin. - Ejecutivo xxx Ejecutar un comando shell 'xxx'. - Log [x] Un comando disponible slo en nc-aegir. Dado que la salida Fenris se hace un tnel directamente a una de las ventanas ncaegir, si desea crear una copia de estos datos, usted tiene que utilizar este comando. Para iniciar el registro en un archivo nuevo, escriba "log / ruta / al / log". Para detener el registro, escriba "log" sin parmetros. - Help Obtenga ayuda.

235

Traducido por Sykrayo Espaa

- Dejar de fumar si Terminar la sesin (se puede abreviar como "qy 'por conveniencia).

236

Traducido por Sykrayo Espaa

Todos los comandos pueden abreviarse siempre y cuando no sean ambiguo. No hay paso a paso introduccin al uso de Aegir, porque se supone que los usuarios tienen algn fondo con gdb, el lenguaje ensamblador, y la depuracin en general, y creo que la referencia de comandos anterior y una muestra de "sesin de demostracin" discutidos anteriormente son ms que suficientes para empezar.

237

Traducido por Sykrayo Espaa

lugar: Carve archivos basados en encabezado y pie de pgina. Desarrollado por Jesse Kornblum y Kris Kendall desde los Estados Unidos Oficina de la Fuerza Area de los Estados de Investigaciones Especiales y el Centro de Estudios de Seguridad de Sistemas de Informacin e Investigacin. Disponible desde http://foremost.sourceforge.net/ La ms importante es un programa de consola para recuperar archivos basados en sus encabezados, pies de pgina, y las estructuras de datos internas. Este proceso se conoce comnmente como talla de los datos. Foremost puede trabajar en archivos de imgenes, como los generados por dd, SafeBack, Encajar, etc, o directamente en una unidad. Los encabezados y pies de pgina se pueden especificar un archivo de configuracin o puede utilizar modificadores de lnea de comandos para especificar una funcin de los tipos de archivo. Estos tipos incorporados miran las estructuras de datos de un formato de archivo determinado que permite una recuperacin ms fiable y ms rpido (Kornblum, 2006). La pgina del manual se presenta a continuacin es de http://foremost.sourceforge.net / foremost.html NOMB RE todo - Recuperar archivos con sus encabezados, pies de pgina y estructuras de datos SINOPSIS todo [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-T <tipo>] [-s <num>] [-i <archivo>] FORMATOS DE INTERNAS Recuperar archivos de una imagen de disco sobre la base de tipos de archivos especificadas por el usuario usando el modificador-t de. jpg Apoyo a los formatos JFIF y Exif incluidas las implementaciones utilizados en las cmaras digitales modernas.

gif png bmp Soporte para el formato BMP de Windows. avi mpg Apoyo a ms de MPEG (debe comenzar con 0x000001BA) exe Ejecutables de Windows PE (tambin extractos tiempo de compilacin para archivos de auditora) rar wav riff Esto extraer AVI y RIFF ya que utilizan el mismo formato de archivo (RIFF). cuenta ms rpido que corriendo cada uno por separado. wmv Nota Tambin puede extraer-wma archivos que tengan formato similar. mov pdf viejo Esto grabar cualquier archivo utilizando la estructura de archivos OLE. Esto incluye PowerPoint, Word, Excel, Access y StarWriter doctor Tenga en cuenta que es ms eficiente para ejecutar OLE que se obtiene ms por su dinero. Si desea ignorar todos los otros archivos ole luego usar esto. Cremallera Nota se extraer. Jar as porque utilizan un formato similar. Abrir documentos 238

Traducido por Sykrayo Espaa

de Office son slo con cremallera archivos XML para que se extraen tambin. Estos incluyen SXW, SXC, SXI y SX? para los archivos de OpenOffice indeterminados. htm cpp Deteccin de cdigo fuente en C, cuenta que es primitivo y puede generar documentos distintos de cdigo C.

239

Traducido por Sykrayo Espaa

todoEjecutar todos los mtodos de extraccin predefinidos. [Por defecto si no se especificat] DESCRIPCIN Recuperar archivos de una imagen de disco basado en encabezados y pies de pgina especificados por el usuario. -H -V -D Unix. -T Muestra una pantalla de ayuda y sale. Mostrar informacin de copyright y de salida. Activar la deteccin bloque indirecto, esto funciona bien para sistemas de archivos

Tiempo estampar el directorio de salida por lo que no tiene que borrar el directorio de salida cuando se ejecutan varias veces. -V Habilita el modo detallado. Esto causa ms informacin sobre el estado actual del programa que se mostrar en la pantalla, y es muy recomendable. -Q Habilita el modo rpido. En el modo rpido, slo el comienzo de cada sector se busca a juego cabeceras. Es decir, la cabecera se busca slo hasta la longitud de la cabecera ms larga. El resto del sector, por lo general alrededor de 500 bytes, se ignora. Este modo hace que todo funcione mucho ms rpido, pero puede hacer que usted pierda los archivos que estn incrustados en otros archivos. Por ejemplo, usingquick modo en el que no ser capaz de encontrar imgenes JPEG incrustados en documentos de Microsoft Word. Modo rpido no se debe utilizar cuando se examinan los sistemas de archivos NTFS. Porque NTFS almacenar pequeos archivos dentro de la tabla maestra de archivos, estos archivos se perdieron durante el modo rpido. -Q Activa el modo silencioso. Sern suprimidos mayora de los mensajes de error. -W Permite escribir la auditora slo se extraern los archivos mode.No. -Un Permite escribir todas las cabeceras, realice ninguna deteccin de errores en cuanto a los archivos daados. exp edi -B nmero Permite especificar el tamao del bloque utilizado en todo. Esto es ent relevante para nombrar y bsquedas rpidas. El valor predeterminado es 512. e es decir. todo-b 1024 image.dd -K nmero Permite especificar el tamao del fragmento utilizado en todo. Esto puede mejorar la velocidad si tiene suficiente RAM para adaptarse a la in.It imagen reduce la corriente que se produce entre los trozos de la memoria intermedia. Por ejemplo, si tiene> 500 MB de RAM. es decir. todo-k 500 image.dd -I expediente El archivo se utiliza como el archivo de entrada. Si no se especifica un archivo de entrada o el archivo de entrada no se puede leer a continuacin, se utiliza la entrada estndar. -O directorio Los archivos recuperados se guardan en el directorio directorio. -C Establece el archivo de configuracin para usar. Si no se especifica ninguno, se exped utiliza el archivo "foremost.conf" en el directorio actual, si es que no existe "/ etc / iente foremost.conf" se utiliza. El formato del archivo de configuracin se describe en el valor por defecto archivo de configuracin incluido con este programa. Vea el archivo de configuracin a continuacin para obtener ms informacin. -S nmero Omite bloques de nmeros en el archivo de entrada antes de comenzar la bsqueda de cabeceras. es decir. todo-s 512-t jpeg-i / dev/hda1 240

Traducido por Sykrayo Espaa

ARCHIVO DE CONFIGURACIN El archivo de configuracin se utiliza para controlar qu tipos de archivos busca ms importantes para. Un archivo de configuracin de ejemplo, foremost.conf, se incluye en esta distribucin. Para cada tipo de archivo, el archivo de configuracin describe la extensin del archivo, si el encabezado y pie de pgina entre maysculas y minsculas, el tamao mximo de archivo, y el encabezado y pie de pgina para el archivo. El campo de pie de pgina es opcional, pero cabecera, tamao, sensibilidad a las maysculas, y la extensin no son! Cualquier lnea que comienza con un signo se considera un comentario y se ignora. Por lo tanto, se puede omitir un tipo de archivo slo hay que poner un signo al principio de la lnea.

241

Traducido por Sykrayo Espaa

Los encabezados y pies de pgina son decodificadas antes de su uso. Para especificar un valor de uso hexadecimal \ x [0 - f] [0-f], y para el uso octal \ [1-9] [1-9] [1-9]. Los espacios pueden ser representados por \ s. Ejemplo: "\ X4F \ 123 \ I \ SCCI" decodifica a "OSI CCI". Para hacer coincidir cualquier carcter individual (tambin conocido como un comodn) usar una?. Si usted necesita para buscar el? carcter, tendr que cambiar la lnea de comodn * y * todas las apariciones del carcter comodn de edad en el archivo de configuracin. No te olvides de los hexagonal y valores octales! ? es igual a \ X3F y \ 063. EJEMPLOS Bsqueda de formato jpeg saltarse los primeros 100 bloques todo-s 100-t jpg-i image.dd Slo generar un archivo de auditora, e imprimir a la pantalla (modo detallado) todo-av image.dd Buscar en todos los tipos definidos todo-t all-i image.dd Buscar gif y pdf todo-t gif, pdf-i image.dd Bsqueda de documentos de oficina y archivos jpeg en un sistema de archivos de Unix en modo detallado. todo-v-t ole, jpeg-i image.dd Ejecutar el caso por defecto todo image.dd

242

Traducido por Sykrayo Espaa

ftimes: Un conjunto de herramientas para la adquisicin de datos forenses. Desarrollado por Klayton Monroe. Disponible desde http://ftimes.sourceforge.net / FTimes / Lo siguiente es de http://ftimes.sourceforge.net / FTimes / FTimes es un sistema de lnea de base y la herramienta de recopilacin de pruebas. El propsito principal de FTimes es reunir y / o el desarrollo de la informacin acerca de los directorios y archivos especificados en modo que favorezcan el anlisis de intrusin. FTimes es una herramienta ligera en el sentido de que no tiene por qu ser "instalado" en un sistema dado para trabajar en ese sistema, que es lo suficientemente pequeo como para caber en un floppy, y slo proporciona una interfaz de lnea de comandos. Preservar los registros de toda la actividad que se produce durante una instantnea es importante para el anlisis de la intrusin y la admisibilidad pruebas. Por esta razn, FTimes fue diseado para registrar cuatro tipos de informacin: los valores de configuracin, los indicadores de progreso, mtricas, y los errores. De salida producida por FTimes es de texto delimitado, y por lo tanto, es fcilmente asimilable por una amplia variedad de herramientas existentes. FTimes bsicamente implementa dos funciones generales: topografa de archivo y bsqueda de cadenas. Topografa del archivo es el proceso de asignar atributos clave de los directorios y archivos en un sistema de archivos determinado. Cadena de bsqueda es el proceso de excavar a travs de los directorios y archivos en un sistema de archivos determinado en la bsqueda de una secuencia especfica de bytes. Respectivamente, estas capacidades se denominan como modo de mapa y el modo de excavacin. FTimes admite dos entornos operativos: banco de trabajo y cliente-servidor. En el entorno de trabajo, el operador utiliza FTimes hacer cosas tales como examinar las pruebas (por ejemplo, una imagen de disco o los archivos de un sistema comprometido), analizar las instantneas para el cambio, la bsqueda de los archivos que tienen los atributos especficos, verificar la integridad del archivo, y as sucesivamente . En el entorno cliente-servidor, el foco se desplaza de lo que el operador puede hacer a nivel local de forma que el operador puede controlar de manera eficiente, manejar y datos de la instantnea agregados para muchos hosts. En el entorno cliente-servidor, el objetivo principal es mover los datos recogidos desde el host a un sistema centralizado, conocido como un servidor Integrity, de una manera segura y autenticada. Un servidor Integrity es un sistema endurecido que se ha configurado para manejar FTimes GET, PING y peticiones HTTP / S PUT. Lo siguiente es de http://ftimes.sourceforge.net/FTimes/ManPage.shtml NOMBRE ftimes - Un sistema de lnea de base y la herramienta de recopilacin de pruebas.

SINOPSIS ftimes - modo de archivo cfgtest [-s] 243

Traducido por Sykrayo Espaa

ftimes - comparar mscara instantnea de referencia [nivel-l] ftimes - decodificador instantnea [nivel-l]

244

Traducido por Sykrayo Espaa

ftimes - digauto archivo [nivel-l] [list] ftimes - archivo digfull [-l nivel] [list] ftimes - archivo diglean [-l nivel] [list] ftimes - getMode archivo [nivel-l] ftimes - mapauto mscara [-l nivel] [list] ftimes - archivo mapfull [-l nivel] [list] ftimes - archivo maplean [-l nivel] [list] ftimes - putmode archivo [nivel-l] ftimes - versin

DESCRIPCIN FTimes es un sistema de lnea de base y la herramienta de recopilacin de pruebas. El propsito principal de FTimes es reunir y / o el desarrollo de la informacin acerca de los directorios y archivos especificados en modo que favorezcan el anlisis de intrusin. FTimes es una herramienta ligera en el sentido de que no necesita ser ``'' instalado en un sistema dado a trabajar en ese sistema, que es lo suficientemente pequeo como para caber en un floppy, y proporciona slo una interfaz de lnea de comandos. Preservar los registros de toda la actividad que se produce durante una instantnea es importante para el anlisis de la intrusin y la admisibilidad pruebas. Por esta razn, FTimes fue diseado para registrar cuatro tipos de informacin: los valores de configuracin, los indicadores de progreso, mtricas, y los errores. De salida producida por FTimes es de texto delimitado, y por lo tanto, es fcilmente asimilable por una amplia variedad de herramientas existentes. FTimes bsicamente implementa dos funciones generales: topografa archivo y bsqueda de cadenas. Topografa del archivo es el proceso de asignar atributos clave de los directorios y archivos en un sistema de archivos determinado. Cadena de bsqueda es el proceso de excavar a travs de los directorios y archivos en un sistema de archivos determinado en la bsqueda de una secuencia especfica de bytes. Respectivamente, estas capacidades se denominan como modo de mapa y el modo de excavacin. FTimes admite dos entornos operativos: banco de trabajo y cliente-servidor. En el entorno de trabajo, el operador utiliza FTimes hacer cosas tales como examinar las pruebas (por ejemplo, una imagen de disco o los archivos de un sistema comprometido), analizar las instantneas para el cambio, la bsqueda de los archivos que tienen los atributos especficos, verificar la integridad del archivo, y as sucesivamente . En el entorno cliente-servidor, el foco se desplaza de lo que el operador puede hacer a nivel local de forma que el operador puede controlar de manera eficiente, manejar y datos de la instantnea agregados para muchos hosts. En el entorno cliente-servidor, el objetivo principal es mover los datos recogidos desde el host a un sistema centralizado, conocido como un servidor Integrity, de una manera segura y autenticada. Un servidor Integrity es un endurecido 245

Traducido por Sykrayo Espaa

sistema que ha sido configurado para manejar FTimes GET, PING y peticiones HTTP / S PUT. La distribucin FTimes contiene un script llamado NPH-ftimes.cgi que puede ser utilizado en conjuncin con un servidor Web para implementar una interfaz pblica Integridad del servidor. Temas ms profundos como la construccin y la mecnica interna de un servidor de integridad no se abordan en este documento.

246

Traducido por Sykrayo Espaa

FTimes ofrece varios modos de funcionamiento que, o bien poner en prctica sus capacidades bsicas o apoyar de alguna manera. Estos modos se describen en los modos de la seccin Funcionamiento de este documento y se resumen aqu:

cfgtest - compruebe la sintaxis del archivo de configuracin de un archivo y el modo determinado comparar - comparar dos instantneas del mapa para detectar cambios decodificador - decodificar un mapa instantnea comprimida digauto - buscar las cadenas en archivos con una configuracin por defecto digfull - buscar las cadenas en los archivos utilizando una configuracin especfica diglean - igual que digfull excepto que el rango de los controles es limitado y la salida se puede escribir directamente a std {err, a} getMode - descargar un archivo de configuracin de un servidor Integrity mapauto - recopilar directorio y atributos de archivo utilizando una configuracin predeterminada mapfull - recopilar directorio y atributos de archivo usando una configuracin especificada maplean - igual que mapfull excepto que el rango de los controles es limitado y la salida se puede escribir directamente a std {err, a} putmode - Subir una excavacin o el mapa de instantneas en un servidor Integrity version - versin de informacin y visualizacin de salida

FTimes Tambin tiene muchos controles que determinan la forma en que se ejecutar. Algunos modos soportan muy pocos controles, mientras que otros apoyan unos cuantos. La siguiente tabla resume los controles que se aplican a cada modo de funcionamiento. Una "X" indica que el control dada se aplica al modo seleccionado.
========== MODOS ========== c c d d d g m m m p v F o yo yo yo e un un un u e g m g g g t p p p t r t p un F l m un F l m s e un u u e o u u e o y s r t l un d t l un d o t e o l n e o l n e n ====== CONTROL DE =============================== AnalyzeBlockSize . . . X X . . X X . . AnalyzeCarrySize . . . X X . . . . . . AnalyzeDeviceFiles . . . X X . . X X . . AnalyzeRemoteFiles . . . X X . . X X . . BaseName . . . X X X . X X X . BaseNameSuffix . . . X X . . X X . . Comprimir . . . . . . . X X . . DataType . . . . . . . . . X . DateTime . . . . . . . . . X . DigString . . X X X . . . . . . DigStringNoCase . . X X X . . . . . . DigStringNormal . . X X X . . . . . . DigStringRegExp . . X X X . . . . . . EnableRecursion . . . X X . . X X . . Excluir . . . X X . . X X . . ExcludesMustExist . . . X X . . X X . . FieldMask . X . . . . X X X X . FileSizeLimit . . . X X . . X X . . GetAndExec . . . . . X . . . . . GetFileName . . . . . X . . . . . HashDirectories . . . . . . . X X . . HashSymbolicLinks . . . . . . . X X . . Importar . . . X X X . X X X .

247

Traducido por Sykrayo Espaa

Incluir

248

Traducido por Sykrayo Espaa

IncludesMustExist. . . X X. . X X. . LogDir. . . X X. . X X. . LogFileName. . . . . . . . . X. MagicFile ....... XX .. MapRemoteFiles. . . X X. . X X. . MatchLimit. . . X X. . . . . . NewLine. . . X X. . X X. . OutDir. . . X X. . X X. . OutFileHash. . . . . . . . . X. Outfilename. . . . . . . . . X. RequirePrivilege. . . X X. . X X. . RUNTYPE. . . X. . . X. X. SSLBundledCAsFile. . . X. X. X. X. SSLExpectedPeerCN. . . X. X. X. X. SSLMaxChainLength. . . X. X. X. X. SSLPassPhrase. . . X. X. X. X. SSLPrivateKeyFile. . . X. X. X. X. SSLPublicCertFile. . . X. X. X. X. SSLUseCertificate. . . X. X. X. X. SSLVerifyPeerCert. . . X. X. X. X. URLAuthType ... X.X.X . X. URLCreateConfig. . . X. . . X. . . URLGetRequest. . . . . X. . . . . URLGetURL. . . . . X. . . . . URLPassword. . . X. X. X. X. URLPutSnapshot. . . X. . . X. . . URLPutURL. . . X. . . X. X. URLUnlinkOutput. . . X. . . X. . . URLUsername. . . X. X. X. X.

MODOS DE FUNCIONAMIENTO Los modos de operacin descritos en esta seccin son mutuamente excluyentes. En otras palabras, slo un modo puede ser especificado por invocacin. A menos que se indique lo contrario, el valor de la lnea de base, instantnea y archivos argumentos pueden ser el nombre de un archivo normal o '-'. Si se da esta ltima forma, FTimes espera leer el equivalente de entrada de la entrada estndar. Tenga en cuenta, sin embargo, que los argumentos de lnea de base y la instantnea no puede ser "-" simultneamente. Los elementos y las reglas de sintaxis para los archivos de configuracin se describen en la seccin de controles de configuracin de este documento. La opcin de nivel se describe en la seccin Opciones de este documento. La opcin de la lista especifica uno o ms directorios, archivos o enlaces simblicos que se van a analizar. En conjunto, estos elementos representan una lista de inclusin. Ver el control Include para ms informacin.
- Cfgtest {archivo | -} modo [-s]

Compruebe la sintaxis del archivo de configuracin dado en el contexto de un modo especfico en que modo puede ser uno de: digauto, digfull, diglean, getMode, mapfull, maplean o putmode. La propuesta archivo de configuracin se analiza con los mismos mtodos que se utilizaran si FTimes haban sido invocados en ese modo de ejecucin particular. De forma predeterminada, los directorios y los archivos no se comprueba su existencia. Esto permite que los ficheros de configuracin que se probarn en un entorno distinto al de donde van a ser utilizados. Pruebas estrictas (Es decir, los directorios y los archivos deben existir) puede ser activada con la opcin-s. El valor 'Sintaxis Pasado' se escribe en la salida estndar, si se cumplen todas las comprobaciones de sintaxis. De lo contrario, el valor 'Error de sintaxis y de una descripcin de la falla se graba en la salida estndar.

249

Traducido por Sykrayo Espaa

Nota: El hecho de que un determinado archivo pasa todas las comprobaciones de sintaxis no garantiza que su uso va a dar lugar a un resultado exitoso. Simplemente asegura que los controles indicados son vlidos para un modo determinado, y los valores de los controles cumplen con los requisitos bsicos de sintaxis.
- Comparar la mscara {inicio | -} {snapshot | -} [nivel-l]

Comparar los datos de referencia y la imagen de acuerdo con la mscara especificada en la mscara identifica los atributos para ser analizados. Salida se escribe en la salida estndar y tiene el siguiente formato:
Categora | Nombre | Cambios | desconocido

El campo de categora indica qu tipo de cambio se ha producido. Puede tener uno de los siguientes valores:
C El cambio de M - Missing N - New U - Unknown (es decir, uno o ambos campos eran NULL) X - Cross (es decir, cambiado y desconocido)

El campo modificado contiene una lista separada por comas de los campos que han cambiado. Este campo ser NULL si la categora es nueva o desaparecidos. El campo desconocido contiene una lista separada por comas de los campos que no se podra comparar debido a la falta de informacin. Este campo ser NULL si la categora es nueva o falta. La mscara especificada debe cumplir con las reglas de sintaxis establecidas para el control FieldMask. Nota: Los argumentos de lnea de base y la instantnea no puede ser "-" simultneamente.
- Decodificador {snapshot | -} [nivel-l]

Decodificar una instantnea comprimida. Una instantnea comprimida se puede crear mediante la ejecucin FTimes en modo mapa (es decir, mapfull o maplean) con Comprimir habilitado. La salida se escribe en stdout.
- Digauto {archivo | -} [nivel-l] [list]

Utilice los ajustes de configuracin predeterminados para buscar una lista de inclusin de un conjunto de cadenas definidas por el usuario. Estas cadenas se definen en el archivo de acuerdo a la sintaxis de los controles DigStringNormal, DigStringNoCase y DigStringRegExp. Si no se especifica la lista, FTimes buscar todo el sistema, incluyendo acciones remotas o puntos de 250

Traducido por Sykrayo Espaa

montaje. Los archivos de dispositivos especficamente incluidos en la lista se buscar (es decir, AnalyzeDeviceFiles siempre est activada en este modo de operacin). Salida se escribe en la salida estndar y tiene el siguiente formato.
Nombre | Tipo | offset | string

El campo de desplazamiento, representado como un valor decimal, contiene la ubicacin en el archivo identificado por su nombre, donde se encontr la cadena especificada.
- Digfull {archivo | -} [nivel-l] [list]

251

Traducido por Sykrayo Espaa

Utilice las opciones de configuracin en el archivo para buscar una lista de inclusin de un conjunto de cadenas definidas por el usuario. La lista Include puede ser especificado por una combinacin de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusin, FTimes buscar todo el sistema. Acciones a distancia o puntos de montaje slo se buscar si AnalyzeRemoteFiles est habilitada. Los archivos de dispositivos especficamente incluidos en la lista slo se buscar si AnalyzeDeviceFiles est habilitada.
- Diglean {archivo | -} [nivel-l] [list]

Utilice las opciones de configuracin en el archivo para buscar una lista de inclusin de un conjunto de cadenas definidas por el usuario. La lista Include puede ser especificado por una combinacin de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusin, FTimes buscar todo el sistema. Acciones a distancia o puntos de montaje slo se buscar si AnalyzeRemoteFiles est habilitada. Los archivos de dispositivos especficamente incluidos en la lista slo se buscar si AnalyzeDeviceFiles est habilitada. La diferencia entre este modo y - digfull es que menos controles se definen / disponibles y salida se pueden escribir directamente a std {err, a}.
- GetMode {archivo | -}

Utilice las opciones de configuracin en el archivo para descargar digfull, diglean, mapfull, o la informacin de configuracin maplean. Una de las tres acciones posibles, dependiendo de cmo est configurado getMode, tendr lugar una vez finalizada la descarga:

FTimes escribe la informacin descargada a la salida estndar, FTimes escribe la informacin descargada en el archivo especificado por GetFileName o FTimes reinicia en digfull, diglean, mapfull o maplean utilizar la informacin descargada como su nuevo archivo de configuracin

La primera accin se efecta cuando GetAndExec est desactivado y no se especifica GetFileName. La segunda accin se efecta cuando GetAndExec se desactiva y se especifica GetFileName. La tercera accin se efecta cuando GetAndExec est activada y se especifica GetFileName.
- Mscara mapauto [nivel-l] [list]

Utilice los ajustes de configuracin predeterminados para asignar una lista de inclusin de acuerdo con la mscara especificada en la mscara identifica los atributos que deben recogerse. Si no se especifica la lista, FTimes se asignarn la totalidad del sistema, incluyendo las acciones a distancia o puntos de montaje. Los archivos de dispositivos especficamente incluidos en la lista se asignarn (es decir, AnalyzeDeviceFiles siempre est activada en este modo de operacin). La salida se escribe en la salida estndar, y su formato depende del valor de la mscara. La mscara especificada debe cumplir con las reglas de sintaxis establecidas para el control FieldMask.
- Mapfull {archivo | -} [nivel-l] [list]

Utilice los ajustes de configuracin en el archivo para asignar una lista Incluir. La lista Include puede ser especificado por una combinacin de incluir controles y los argumentos de la lista. Si no 252

Traducido por Sykrayo Espaa

se especifica una lista de inclusin, FTimes se asignarn la totalidad del sistema. Acciones a distancia o puntos de montaje slo se asignarn si AnalyzeRemoteFiles est habilitada. Los archivos de dispositivos especficamente incluidos en la lista slo se asignarn si AnalyzeDeviceFiles est habilitada.
- Maplean {archivo | -} [nivel-l] [list]

253

Traducido por Sykrayo Espaa

Utilice los ajustes de configuracin en el archivo para asignar una lista Incluir. La lista Include puede ser especificado por una combinacin de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusin, FTimes se asignarn la totalidad del sistema. Acciones a distancia o puntos de montaje slo se asignarn si AnalyzeRemoteFiles est habilitada. Los archivos de dispositivos especficamente incluidos en la lista slo se asignarn si AnalyzeDeviceFiles est habilitada. La diferencia entre este modo y - mapfull es que hay menos controles se definen / disponibles y salida se pueden escribir directamente a std {err, a}.
- Putmode {archivo | -} [nivel-l]

Utilice las opciones de configuracin en el archivo para cargar una instantnea existente a un servidor Integrity configurado para recibir tal.
- Version

Muestra informacin de versin y sale.

OPCIONES
-L nivel

La opcin LogLevel controla la cantidad de salida de registro. A medida que disminuye el nivel, la cantidad de la produccin aumenta. El rango de valores que pueden ser asignados a nivel se indica a continuacin. En los casos en que la recopilacin de pruebas es de inters primordial, LogLevel debe ser superior a Landmark. El LogLevel predeterminada es Landmark.
6 5 4 3 2 1 0 Crtico No Advertencia Informacin Lugar de referencia Waypoint Debug

-S

Hacer cumplir estrictas pruebas. Para ello es necesario que existan los directorios y archivos especficos del sistema que ejecuta la prueba. Controles afectadas por esta opcin son: LogDir, OutDir, SSLPublicCertFile, SSLPrivateKeyFile y SSLBundledCAsFile.

CONTROLES DE CONFIGURACIN En esta seccin se describen los distintos controles que FTimes reconoce. En general, controla bien el comportamiento de tiempo de ejecucin de forma o proporcionar la informacin necesaria por la solicitud para realizar una funcin especfica. Controles y sus valores, un par / lnea, se escriben en un archivo con el siguiente formato.
<control> = <valor>

254

Traducido por Sykrayo Espaa

Todos los controles son sensibles a maysculas, pero, en general, sus valores no son. Los comentarios pueden aparecer en cualquier parte de una lnea determinada, y deben comenzar con un carcter de almohadilla (es decir, '#'). En cualquier lnea dada, se ignorar todo el texto a la derecha de la primera observacin. Se ignoran los espacios en blanco que rodea los controles y valores.

DESCRIPCIN DE CONTROL En esta seccin se describe cada control que se especifique, define cules son los valores que pueda tener, y afirma que los modos de operacin reconoce el control.
AnalyzeBlockSize: [1-1048576]

Corresponde a digfull, diglean, mapfull y maplean. AnalyzeBlockSize es opcional. Se indica al motor de anlisis a utilizar el tamao de bloque especificado (en bytes) cuando la lectura y procesamiento de datos de archivo. El valor predeterminado para este control es 16384 (16 KB).
AnalyzeCarrySize: [1-1048576]

Corresponde a digfull, diglean. AnalyzeCarrySize es opcional. Se indica al motor de anlisis para utilizar el tamao de bloque especificado (en bytes) al guardar (o llevar) los datos de una operacin de excavacin a la siguiente. El valor predeterminado para este control es 1024 (1 KB). Nota: El valor de este control no debe exceder AnalyzeBlockSize, y debe ser igual o mayor que la longitud mxima de la cadena de las cadenas insenstive normal y caso. Si cualquiera de estas condiciones no se cumple, el programa abortar.
AnalyzeDeviceFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. AnalyzeDeviceFiles es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para analizar los archivos de dispositivo de bloque / carcter que han sido incluidos especficamente por su nombre en la lnea de comandos oa travs de un include (por ejemplo, Incluir = / dev/ad0). Los archivos de dispositivo que se encuentran en un directorio incluido (por ejemplo, Incluir = / dev) no se analizan, simplemente porque su padre estaba incluido - debe llamar especficamente a cabo. Adems, los archivos de dispositivos que se incluyeron especficamente se podan si sus padres o de cualquier directorio de nivel superior se incluy tambin. El valor por defecto es 'N'. Nota: El anlisis de los archivos de dispositivo de bloque / personaje puede llevar mucho tiempo o para siempre (por ejemplo, / dev / zero).
AnalyzeRemoteFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. 255

Traducido por Sykrayo Espaa

AnalyzeRemoteFiles es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes de ignorar el hecho de que un determinado Incluir no reside en el sistema local. El resultado es que FTimes intentarn analizar archivos remotos. El valor por defecto es 'N'.

256

Traducido por Sykrayo Espaa

Nota: El anlisis de los sistemas de archivos remotos puede crear una gran cantidad de trfico de red. Slo recuerde que usted puede estar asignando un disco entero.
BaseName: <name|->

Corresponde a digfull, diglean, getMode, mapfull, maplean y putmode. BaseName se requiere. Especifica el nombre del prefijo que se adjuntar a los distintos archivos de salida. Tambin sirve como parmetro clientid GET / PING / PUT solicitudes. El formato de nombre recomendado es el que coincide con la siguiente expresin regular:
^ [0-9A-Za-z_-] {1,64} $

Esto se debe a NPH-ftimes.cgi utiliza esa expresin para validar el parmetro clientid GET / PING / PUT solicitudes. Normalmente, nombre base y URLUsername sern los mismos cuando la autenticacin bsica est habilitada, pero esto no es un requisito. Si est utilizando FTimes en un modo de inclinacin, una buena convencin de nombres sera utilizar el nombre de host del sistema que est siendo baselined. Adems, ambos modos magras permiten especificar un valor de nombre base "-". Esto hace FTimes para escribir su salida a stdout / stderr.
BaseNameSuffix: [datetime | ninguna | pid]

Corresponde a digfull, diglean, mapfull y maplean. BaseNameSuffix es opcional. En l se especifica el tipo de sufijo que se adjunta al nombre base. Si BaseNameSuffix se establece en fecha y hora, un sufijo con el siguiente formato se anexar al nombre base: YYYYMMDDHHMMSS. Si se establece en Ninguno, sin sufijo se aade, y si se establece en pid, el valor del identificador del proceso actual se anexa. El valor predeterminado es Ninguno.
Comprimir: [Y | N]

Corresponde a mapfull y maplean. Comprimir es opcional. Cuando est activada ('Y' o 'y'), se activa una forma de compresin sin prdidas ASCII. Esto produce una relacin de compresin que puede ser tan bueno como tres a uno. El valor por defecto es 'N'. Como nota al margen, comprimir comprimido instantneas con un programa como gzip (1) produce una mejor compresin que si gzip (1) se utiliz solo en los mismos datos en su forma no comprimida.
Tipo de datos: [dig | mapa]

Corresponde a putmode. DataType se requiere. Representa el parmetro DATATYPE en peticiones PUT y especifica el tipo de datos publicados. 257

Traducido por Sykrayo Espaa

DateTime: <AAAAMMDDHHMMSS>

Corresponde a putmode.

258

Traducido por Sykrayo Espaa

DateTime se requiere. Su representa el parmetro DATETIME en peticiones PUT y especifica la fecha / hora de la instantnea que se registr.
DigString: <cadena>

Corresponde a digauto, digfull y diglean. DigString es un alias para DigStringNormal, y se est eliminando. Utilice DigStringNormal en su lugar.
DigStringNoCase: <cadena>

Corresponde a digauto, digfull y diglean. DigStringNoCase es necesario bajo condiciones. Especifica una cadena de bsqueda distingue maysculas y minsculas. Esta cadena debe ser el URL codificada en la misma manera que una normal de DigString - referirse a la descripcin de control para los detalles. Internamente, todos los caracteres alfabticos (por ejemplo, [A-Za-z]) se convierten a minsculas.
DigStringNormal: <cadena>

Corresponde a digauto, digfull y diglean. DigStringNormal es necesario bajo condiciones. Especifica una cadena de bsqueda. Esta cadena debe ser URL codificada si contiene '%', '+', '', o los caracteres no imprimibles. En caso de duda acerca de si un valor debe ser codificada, codificarlo. Para codificar un carcter, convertir su valor hexadecimal de acuerdo con el formato % HH donde H es un dgito hexadecimal. Los espacios pueden alternativamente ser codificados como '+'.
DigStringRegExp: <regexp>

Corresponde a digauto, digfull y diglean. DigStringRegExp es necesario bajo condiciones. Especifica una expresin regular compatible con Perl. A diferencia de las cadenas especificadas en los controles DigString y DigStringNoCase, esta cadena no debe ser URL codificada. Con los patrones DigStringRegExp, debe especificar no ms de una captura de '()' sub-patrn. Usted puede usar '(? :) Si necesita parntesis adicionales para fines de agrupacin. Si no se especifica un sub-patrn de captura, se capturar todo el partido. Nota: Este control slo est disponible si el soporte PCRE fue compilado en el binario. A partir de la versin 3.5.0, el apoyo PCRE est habilitado de forma predeterminada.
EnableRecursion: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. EnableRecursion es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para procesar recursivamente directorios. El valor por defecto es 'Y'. 247

Traducido por Sykrayo Espaa

Excluir: [directorio | archivo | link]

Corresponde a digfull, diglean, mapfull y maplean.

248

Traducido por Sykrayo Espaa

Excluir controles son opcionales, y no hay lmite predefinido en el nmero que se haya especificado. Sin embargo, slo puede haber un par de control / valor Excluir por lnea. No es necesario excluir explcitamente los sistemas de archivos especiales tales como PROCFS como se FTimes detectar su presencia y excluir de forma automtica. Excluir valores se deben especificar como ruta de acceso completa (ver control incluyen). Si ExcludesMustExist est habilitado, entonces cada Excluir debe hacer referencia a un archivo existente, directorio o enlace simblico. De lo contrario, FTimes abortar. Nota: Los enlaces simblicos no se admiten en los sistemas de archivos basados en Win32. Nota: El mecanismo de exlude funciona sobre una base de coincidencia exacta, pero se puede utilizar para producir un efecto recursivo. Por ejemplo, si incluye '/' y excluir '/ etc', y luego '/ etc' y nada por debajo no sern procesados. Sin embargo, si se incluyen '/ etc / hosts' y excluir '/ etc', y luego '/ etc / hosts' no sern procesadas porque el efecto recursivo no estara en juego, y no hay excluye que coincide exactamente con ella.
ExcludesMustExist: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. ExcludesMustExist es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para comprobar la existencia de cada Excluir antes de la asignacin o la excavacin. Si se habilita este control y cualquier Excluir no existe, FTimes abortar. El valor por defecto es 'N'.
FieldMask: <mscara>

Aplica para comparar, mapauto, mapfull, maplean y putmode. FieldMask se requiere comparar. Su valor indica qu campos se van a comparar para el cambio. FieldMask se requiere en mapauto, mapfull y maplean. Su valor determina qu atributos quedan recogidos o derivados durante un anlisis. FieldMask se requiere en putmode. Su valor indica qu campos se incluyen en los datos que se publican. No puede haber espacios en blanco incrustados en una especificacin mascara dada, y debe cumplir con la siguiente sintaxis distingue maysculas y minsculas:
TODO [<+ | -> <field> ...]

o
NINGUNO <+ | -> <field> [<+ | -> <field> ...]

Los siguientes campos se pueden especificar en plataformas Windows con dos salvedades: (1) chtime slo est disponible en sistemas Windows NT/2K y (2) altstreams slo est disponible si el sistema de archivos de destino es NTFS.
nmero de serie findex-archivo

249

Traducido por Sykrayo Espaa

nmero de serie del volumenvolumen

250

Traducido por Sykrayo Espaa

atributos - Los atributos de archivo atime en tiempo de ltimo acceso al disco mtime en tiempo de la ltima vez ctimeCreacin de modificacin del archivo tiempo chtime-Change (indocumentado) tamao tamao-archivo en bytes altstreams - Nmero de secuencias alternativas o denominacin sha1-SHA1 del archivo de secuencia de datos md5-MD5 de los datos de flujo de tipo mgico-archivo del archivo

Los siguientes campos se pueden especificar en plataformas UNIX:


dev - Nmero de identificacin del dispositivo Nmero de identificacin del archivo inodemodo de archivo atributos y permisos nlink-Nmero de enlaces duros identificacin Nmero de identificacin gid-Group nmero uid de usuario Tipo rdev-Device (contiene nmeros mayor / menor) atime en tiempo de ltimo acceso al disco mtime en tiempo de la ltima modificacin del archivo ctime en tiempo del ltimo cambio de estado del archivo -tamao Tamao de archivo en bytes sha1-SHA1 del archivo de secuencia de datos md5MD5 del flujo de datos de tipo mgico-archivo del archivo

FileSizeLimit: <entero>

Corresponde a digfull, diglean, mapfull y maplean. FileSizeLimit es opcional. Se indica al motor de anlisis para omitir los archivos que son mayores que el lmite de tamao especificado. El valor por defecto es cero, lo que significa que no impone un lmite.
GetAndExec: [y | n]

Corresponde getMode.

GetAndExec es opcional. Cuando est activada ('Y' o 'y'), hace que FTimes para iniciar una nueva instantnea una vez que la descarga se haya completado. Esto se logra a travs de un exec () llamar. GetAndExec depende de GetFileName. El valor por defecto es 'N'. Nota: Tenga cuidado al especificar GetFileName. Si usted elige un lugar que se puede escribir por otros procedimientos, FTimes no puede leer el archivo de configuracin usted pretende que lo haga. Es decir, algn otro proceso puede haber modificado o reemplazado el archivo del origianl. 251

Traducido por Sykrayo Espaa

GetFileName: <archivo>

Corresponde a getMode.

252

Traducido por Sykrayo Espaa

GetFileName es necesario si GetAndExec est habilitada. Su valor es el nombre del archivo en el que la informacin de configuracin descargado se va a almacenar. GetFileName puede especificarse como una ruta relativa.
HashDirectories: [y | n]

Corresponde a mapfull y maplean. HashDirectories es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para calcular digiere para los directorios. Esto se hace mediante el hash resmenes de todos los archivos y directorios contenidos en un directorio en el orden en que se encuentran. Por lo tanto, si un directorio tiene la siguiente estructura en la que D {1 | 2} y F {1 | 2} representan directorios y archivos, respectivamente,
D1 | - F1 + D2 | - F2

entonces, suponiendo que la F1 se asignan antes D2, D1 y D2 tienen los siguientes valores hash:
Hash (D2) = H (H (F2)) Hash (D1) = H (H (F1), Hash (D2))

donde H representa el algoritmo hash (por ejemplo, MD5, SHA1, etc). Si una entrada en el directorio es un archivo especial (por ejemplo, un dispositivo) o no se puede abrir / hash, una cadena de 16 bytes que consiste de todos los ceros se utiliza para el clculo. El valor por defecto es 'N'.
HashSymbolicLinks: [y | n]

Corresponde a mapfull y maplean. HashSymbolicLinks es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para calcular digiere los enlaces simblicos. Esto se hace mediante hash de los datos devueltos por readlink (). El valor predeterminado es 'Y'.
Import: <archivo>

Corresponde a digfull, diglean, mapfull, maplean, putmode y getMode. Importar es opcional. Cuando se especifica, las directrices que figuran en el archivo al que hace referencia este control se incluyen en la configuracin actual. Varias instancias de este control se permite por archivo y recursividad se permite hasta tres niveles de profundidad. Las importaciones pueden ser especificados usando una ruta relativa. 250

Traducido por Sykrayo Espaa

Incluya: [directorio | archivo | link]

Corresponde a digfull, diglean, mapfull y maplean.

251

Traducido por Sykrayo Espaa

Incluir controles son opcionales, y no hay lmite predefinido en el nmero que se haya especificado. Sin embargo, no puede haber un solo incluyen el control / valor par por lnea. Si no se especifican controles incluyen, FTimes intentarn trazar todo el sistema. Si IncludesMustExist est habilitado, entonces cada Incluir debe hacer referencia a un archivo existente, directorio o enlace simblico. De lo contrario, FTimes abortar. Incluir Los valores deben ser un archivo regular, directorio o enlace simblico especificado como ruta de acceso completa. Para sistemas de archivos Win32, esto significa que cada Incluir debe comenzar con un designador de unidad ([A-Za-z] :) y seguir por la ruta de destino (por ejemplo, "c: \ temp"). Para sistemas de archivos UNIX, cada Incluir debe comenzar con una barra inclinada (por ejemplo, '/ tmp'). Nota: Los enlaces simblicos no se admiten en los sistemas de archivos basados en Win32. Nota: Tenga cuidado al incluir sistemas de archivos que residen en recursos compartidos remotos porque FTimes pueden intentar asignarlos. Para evitar que esto suceda, puede excluir el sistema de archivos remoto o desactivar AnalyzeRemoteFiles. Nota: hashing Directory slo se aplica a los directorios. Esto significa que cada archivo de inclusin es tratado como un objeto aislado, aparte de cualquier rbol especfico. La excepcin a esto es cualquier Incluir que consigue podado automticamente porque es parte de una rama grande.
IncludesMustExist: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. IncludesMustExist es opcional. Cuando est activada ('Y' o 'y'), instruye FTimes para comprobar que cada Include existe antes que la cartografa o la excavacin. Si se habilita este control y cualquier Include no existe, FTimes abortar. El valor por defecto es 'N'.
LogDir: <directorio>

Corresponde a digfull, diglean, mapfull y maplean. LogDir es opcional. Cuenta FTimes dnde escribir datos de registro. Si no se especifica, el valor de OutDir se utilizar como valor para LogDir. LogDir puede especificarse como una ruta relativa.
LogFileName: <archivo>

Corresponde a putmode. LogFileName se requiere. Su valor es el nombre del archivo de registro para ser publicado. LogFileName debe especificarse como una ruta completa.
MagicFile: <archivo>

Corresponde a mapfull y maplean. MagicFile es opcional. Si el campo magia en FieldMask se establece y referencias MagicFile un archivo XMagic vlida, FTimes intenta determinar el tipo de cada archivo se asigna. Si el campo de 252

Traducido por Sykrayo Espaa

la magia no est definida, se ignora este control. MagicFile puede especificarse como una ruta relativa.

253

Traducido por Sykrayo Espaa

Nota: XMagic no est integrado en FTimes por defecto. Si su versin de FTimes no tiene se solicita esta ayuda y el campo de la magia, FTimes producirn campos nulos. Nota: XMagic se desactiva automticamente si la compresin est activada.
MapRemoteFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. MapRemoteFiles es un alias para AnalyzeRemoteFiles, y se est eliminando. Por favor, use AnalyzeRemoteFiles en su lugar.
MatchLimit: <entero>

Corresponde a digfull y diglean. MatchLimit es opcional. Se indica al motor de bsqueda para detener la bsqueda de un patrn particular dentro de un archivo una vez que se ha alcanzado el lmite especificado partido. El valor por defecto es cero, lo que significa que no impone un lmite. Nota: Busca una cadena como 'A' con un MatchLimit de cero puede producir una gran cantidad de la produccin.
NewLine: [LF | CRLF]

Corresponde a digfull, diglean, mapfull y maplean. NewLine es opcional. Cuando se establece en el CRLF valor, se genera de Windows estilo de lnea alimentaciones (es decir, retorno de carro y salto de lnea). Cuando NewLine se establece en el valor LF, genera UNIX lnea de estilo alimentacin (es decir, avance de lnea). Este control es til si revisa / analizar conjuntos de datos de diferentes plataformas en un equipo en particular. El valor predeterminado es el valor nativo para el sistema operativo que se ejecuta el programa.
OutDir: <directorio>

Corresponde a digfull, diglean, mapfull y maplean. OutDir se requiere. Cuenta FTimes dnde escribir los datos de salida. Si no se especifica, el programa abortar. OutDir puede especificarse como una ruta relativa.
OutFileHash: <MD5>

Corresponde a putmode. OutFileHash se requiere. Su valor es el cdigo MD5 del fichero de salida. Este valor debe coincidir con el hash del archivo actual antes de que se permita la carga. El valor se representa como 32 caracteres hexadecimales.
Outfilename: <archivo>

254

Traducido por Sykrayo Espaa

Corresponde a putmode.

255

Traducido por Sykrayo Espaa

Outfilename se requiere. Su valor es el nombre del archivo de salida de ser publicados. Outfilename debe especificarse como una ruta completa.
RequirePrivilege: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. RequirePrivilege es opcional. Cuando est activada ('Y' o 'y'), indica que el operador quiere asegurarse de que la instantnea se ejecuta desde una cuenta con privilegios. En los sistemas UNIX, esto significa que FTimes deben ejecutarse desde una cuenta que tenga una verdadera identificacin de usuario de cero (es decir, la raz). En los sistemas NT/2K esto significa que que se debe ejecutar desde una cuenta que tiene la copia de seguridad y restaurar los derechos de usuario. El valor por defecto es 'N'. Nota: FTimes funcionarn sin privilegios, pero es probable que genere ms errores debido a problemas de permisos.
RUNTYPE: [inicio | linktest | snapshot]

Corresponde a digfull, mapfull y putmode. RUNTYPE es opcional. Este control establece una marca correspondiente en el archivo de registro que clasifica los datos de salida como la lnea de base, instantnea o linktest. El valor de este control no afecta el formato o el contenido de la salida. Simplemente clasifica los datos de modo que las aplicaciones de anlisis automatizados pueden procesar en consecuencia. El valor predeterminado es referencia.
SSLBundledCAsFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLBundledCAsFile se requiere cuando SSLVerifyPeerCert est habilitada. Este control especifica el nombre de un archivo codificado PEM (Privacy Enhanced Mail) que contiene un conjunto de paquetes de autoridad de certificacin (CA) de certificados. Todo certificado validado por pares que est firmado por una de estas entidades de certificacin ser aceptada siempre que los controles SSLMaxChainLength y SSLExpectedPeerCN se encuentran tambin satisfechos. SSLBundledCAsFile puede especificarse como una ruta relativa.
SSLExpectedPeerCN: <nombre>

Corresponde a digfull, mapfull, putmode y getMode. SSLExpectedPeerCN se requiere cuando SSLVerifyPeerCert est habilitada. El valor de este control representa el nombre comn se espera de los pares (CN). Convencionalmente, CN se especifican como nombres de dominio completos. Este control elimina la necesidad de realizar una bsqueda de DNS en el momento de la validacin de certificados. Esto, a su vez, puede ayudar a prevenir ataques con spoofing DNS.
SSLMaxChainLength: [1-10]

256

Traducido por Sykrayo Espaa

Corresponde a digfull, mapfull, putmode y getMode. SSLMaxChainLength es opcional cuando SSLVerifyPeerCert est habilitada. El valor de este control determina la profundidad puede ser una cadena de certificados antes de que se considera no vlido. El valor por defecto es uno.

257

Traducido por Sykrayo Espaa

SSLPassPhrase: <FraseContrasea>

Corresponde a digfull, mapfull, putmode y getMode. SSLPassPhrase es opcional cuando SSLUseCertificate est habilitado. Su valor, si se especifica, se utiliza para descifrar el contenido del archivo de clave privada del cliente (vase SSLPrivateKeyFile).
SSLPrivateKeyFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLPrivateKeyFile se requiere cuando SSLUseCertificate est habilitado. Este control especifica el nombre de un archivo de clave de PEM (Privacy Enhanced Mail) codificada que se puede utilizar para firmar los certificados SSL. SSLPrivateKeyFile puede especificarse como una ruta relativa.
SSLPublicCertFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLPublicCertFile se requiere cuando SSLUseCertificate est habilitado. Este control especifica el nombre de un PEM (Privacy Enhanced Mail) certificado codificado que se ofrecer durante los reconocimientos de SSL. SSLPublicCertFile puede especificarse como una ruta relativa.
SSLUseCertificate: [y | n]

Corresponde a digfull, mapfull, putmode y getMode. SSLUseCertificate es opcional. Cuando est activada ('Y' o 'y'), que instruye la aplicacin para proporcionar la autenticacin de certificados de cliente, si es necesario. El valor por defecto es 'N'.
SSLVerifyPeerCert: [y | n]

Corresponde a digfull, mapfull, putmode y getMode. SSLVerifyPeerCert es opcional. Cuando est activada ('Y' o 'y'), que instruye la aplicacin para verificar las credenciales del servidor igual. El valor por defecto es 'N'.
URLAuthType: [bsica | ninguna]

Corresponde a digfull, mapfull, putmode y getMode. URLAuthType es opcional. Identifica qu esquema de autenticacin que se utilizar al emitir peticiones HTTP / HTTPS. El valor especificado en este control se aplica a todas las solicitudes que implican URLGetURL o URLPutURL. Cuando URLAuthType se ajusta a los servicios bsicos, las credenciales del usuario son la base 64 codificados y se incorporan en el encabezado de la solicitud. Las credenciales de usuario especificadas en la URL tienen prioridad sobre las credenciales especificadas en el URLUsername y controles URLPassword. El valor predeterminado es Ninguno. 258

Traducido por Sykrayo Espaa

URLCreateConfig: [y | n]

259

Traducido por Sykrayo Espaa

Corresponde a digfull y mapfull. URLCreateConfig es opcional cuando URLPutSnapshot est habilitada. Cuando est activada ('Y' o 'y'), que instruye la aplicacin para crear un archivo de configuracin adecuado para volver a colocar la instantnea en un momento posterior. El valor por defecto es 'N'.
URLGetRequest: [{Dig completo, Lean} Config | Mapa {completo, Lean} Config]

Corresponde a getMode. URLGetRequest se requiere. Este control especifica qu tipo de archivo de configuracin que el cliente solicita cuando se emite una solicitud GET. Tambin determina el siguiente RunMode GetAndExec cuando est activado. Por lo tanto, los valores de Dig {completo, Lean} Config causarn FTimes para reiniciar en modo diglean digfull o, y los valores de mapa {completo, Lean} Config causarn FTimes para reiniciar en modo maplean mapfull o.
URLGetURL: <url>

Corresponde a getMode. URLGetURL se requiere. Se define el esquema, las credenciales de usuario, direccin de host, el puerto y la aplicacin CGI que se utilizar al realizar las solicitudes. Si se especifica un par de nombre de usuario / contrasea en la URL, ese par tiene prioridad sobre los valores especificados por URLUsername / URLPassword, en su caso. URLs deben utilizar un esquema de http o https y satisfacer la siguiente expresin regular: esquema :/ / (usuario (: pass) @?) anfitrin? (: puerto)? / (ruta (\ query)?)?
URLPassword: <contrasea>

Corresponde a digfull, mapfull, putmode y getMode. URLPassword es opcional. Se identifica la contrasea que se utiliza para acceder a un servidor Integrity. El valor especificado en este control se utiliza en conjuncin con URLGetURL y URLPutURL a menos que esos controles suministran su propio par de nombre de usuario / contrasea.
URLPutSnapshot: [y | n]

Corresponde a digfull y mapfull. URLPutSnapshot es opcional. Cuando est activada ('Y' o 'y'), FTimes intenta publicar la instantnea a un servidor Integrity. Antes de iniciar la exploracin, FTimes transmitirn un PING capa de aplicacin en el servidor para verificar que es accesible y funcional. Si la aplicacin CGI remoto est funcionando correctamente, se devuelve el cdigo de respuesta HTTP 250 extendida (Ping Recibido). URLPutSnapshot depende de URLPutURL. Si se requiere autenticacin bsica, el URLUsername controles, URLPassword y URLAuthType pueden necesitar ser especificado as. El valor por defecto es 'N'.
URLPutURL: <url>

260

Traducido por Sykrayo Espaa

Corresponde a digfull, mapfull y putmode.

261

Traducido por Sykrayo Espaa

URLPutURL es opcional. Se define el esquema, las credenciales de usuario, direccin de host, el puerto y la aplicacin CGI que se utilizar al realizar peticiones PUT. Si se especifica un par de nombre de usuario / contrasea en la URL, ese par tiene prioridad sobre los valores especificados por URLUsername / URLPassword, en su caso. En cualquier caso, las credenciales de usuario slo se envan cuando se ha solicitado la autenticacin bsica (ver URLAuthType). URLPutURL utiliza la misma sintaxis que URLGetURL.
URLUnlinkOutput: [y | n]

Corresponde a digfull y mapfull. URLUnlinkOutput es opcional cuando URLPutSnapshot est habilitada. Cuando est activada ('Y' o 'y'), los archivos de salida se sobrescriben y no vinculadas antes de salir del programa. El valor por defecto es 'N'.
URLUsername: <username>

Corresponde a digfull, mapfull, putmode y getMode. URLUsername es opcional. Identifica el nombre de usuario que utiliza al acceder a un servidor Integrity. El valor especificado en este control se utiliza en conjuncin con URLGetURL y URLPutURL a menos que esos controles suministran su propio par de nombre de usuario / contrasea.

VALOR DEVUELTO Al completar con xito, se devuelve un valor de XER_OK (0). Si el programa encontrado un error crtico y tuvo que abortar inmediatamente, el valor XER_Abort (1) se devuelve. Si la lnea de comandos no se ajusta a la sintaxis necesaria, se devuelve un valor de XER_Usage (2). De lo contrario, uno de los siguientes cdigos de error se devuelve. Estos cdigos indican el subsistema encontr el error fatal.

XER_BootStrap (3) XER_ProcessArguments (4) XER_Initialize (5) XER_CheckDependencies (6) XER_Finalize (7) XER_WorkHorse (8) XER_FinishUp (9) XER_FinalStage (10)

ARCHIVOS Varios archivos de diferentes pueden ser necesarios como entrada o como salida producidos en el curso de FTimes ejecutan. Estos archivos se describen genricamente a continuacin.
Nombre base (_BaseNameSuffix)?. Cfg

La carga de archivos de configuracin. Este archivo se crea automticamente cuando 262

Traducido por Sykrayo Espaa

URLCreateConfig est activado, y puede ser usado en conjuncin con el modo de poner para cargar una instantnea creado anteriormente.
Nombre base (_BaseNameSuffix)?. Sesin

263

Traducido por Sykrayo Espaa

El archivo de registro principal. Este archivo contiene un registro de las actividades que tuvieron lugar durante una excavacin o el mapa ejecutarse siempre que LogLevel se fij en un nivel adecuado.
Nombre base (_BaseNameSuffix)?. {Dig, mapa}

El archivo de salida principal. Este archivo contiene el mapa posiblemente comprimido o los datos recogidos durante la excavacin de un anlisis. La primera lnea de este archivo contiene un encabezado que especifica el nombre de cada campo recogido.
Autoridades de certificacin liados

Cuando SSLUseCertificate se ha habilitado, FTimes espera encontrar un archivo de autoridades de certificado incluido en la ubicacin especificada por el control SSLBundledCAs. Si este archivo no existe o que el formato adecuado, FTimes abortar.
Config

Este archivo contiene directivas se utilizan para configurar FTimes. En general, un archivo de configuracin en particular se aplica a un solo modo de funcionamiento. Esto se debe a diferentes modos soportan diferentes controles. Consulte la seccin de controles de configuracin de este documento para determinar qu controles se aplican a cada modalidad.
Certificado pblica y clave privada

Cuando SSLUseCertificate se ha habilitado, FTimes espera encontrar archivos de certificados y claves en los lugares especificados por SSLPublicCert y controles SSLPrivateKey, respectivamente. Si estos archivos no existen o tienen el formato correcto, FTimes abortar.
Instantnea

Este es un archivo de mapa previamente creado y posiblemente comprimido que se suministra como entrada. En el modo de comparacin que representa un archivo de mapa no comprimido y se aplica tanto a la lnea de base y los argumentos de instantneas. En el modo de decodificador que representa un archivo de mapa comprimido.
XMagic

Este archivo contiene las pruebas de magia y descripciones. El formato de la magia utilizada por FTimes es XMagic. FTimes busca en un mximo de tres lugares para la magia: (1) la ubicacin especificada por el control MagicFile, (2) / usr / local / ftimes / etc / xmagic oc: \ ftimes \ etc \ xmagic, y (3) el trabajo actual directorio. FTimes no abortar, si no se encuentra un archivo adecuado, pero la produccin de la magia ser limitado.

NOTAS El atributo de nombre puede ser parcialmente codificado si contiene caracteres especiales. Los caracteres especiales se definen como [`'" |% +] o cualquier carcter no imprimible. Si el nombre contiene 264

Traducido por Sykrayo Espaa

caracteres Unicode, el byte es siempre codificada, y el byte bajo se codifica como se describe anteriormente. Para descifrar un nombre codificado, primero convertir todos los pluses a los espacios (por ejemplo, '+' -> ''). A continuacin, de izquierda a derecha, convertir cada % HH secuencia, a su valor de byte. Aqu 'H' denota un dgito hexadecimal.

265

Traducido por Sykrayo Espaa

Como cuestin de la seguridad y el control de la configuracin, debe crear una lnea de base de todo el sistema de forma peridica y siempre que los grandes eventos ocurrir, como la adicin / eliminacin de paquetes de software o la aplicacin de sistema / parches de seguridad. En situaciones crticas, lo mejor es permitir RequirePrivilege y ejecutar FTimes de una cuenta con privilegios. Esto evitar obsesiones comunes asociados con tener muy poca privilegio. Copia de seguridad y restauracin de los derechos se requieren para satisfacer RequirePrivilege en sistemas NT, y se requiere privilegios de superusuario en los sistemas UNIX. Si simplemente est digitalizando sus propios archivos, es probable que no necesita habilitar RequirePrivilege. En sistemas NT el operador puede necesitar el Omitir comprobacin de recorrido privilegio, adems de una copia de seguridad y restaurar los derechos. Adems, asegrese de que las polticas de dominio no estn prestando los privilegios del operador ineficaz. En general, utilice el valor predeterminado de LogLevel y revisar los datos de registro despus de cada invocacin, ya que puede mostrar errores o problemas que necesitan ser abordados. En general, la creacin de distintos ficheros de configuracin para cada perfil tiene la intencin de mantener. En este caso, el perfil se refiere al conjunto de archivos y directorios en un equipo dado que tiene la intencin de analizar de forma regular. Si usted tiene un gran nmero de perfiles que comparten un conjunto comn de controles, es posible que desee mover estos controles en un solo archivo. Entonces, es posible que simplemente se refieren a este archivo utilizando el control de importacin. Establecer OutDir a un directorio que tiene la capacidad de contener todos los datos resultantes. Si los medios de comunicacin externos, como jaz, zip, disquete o estn disponibles, considere el uso de ellos. Sin embargo, el uso de un disquete no se recomienda a menos que usted sabe que tiene la capacidad para contener los datos. Tambin es posible que desee considerar la escritura de salida a un NFS, Samba o Windows compartir. Una tercera opcin es usar FTimes 'capacidad integrada de carga y enviar los datos directamente a un servidor Integrity. Configuracin LogDir a un camino que representa un dispositivo de disco flexible puede ser til si la integridad de datos es una preocupacin y no hay medios extrables o protegible disponibles para almacenar toda la produccin prevista. La razn de esto es que el archivo de registro contendr un resumen MD5 del archivo de salida de la finalizacin del mapa. Debido a que los datos de registro se escriben en disco, sera posible eliminar y escribir proteger esta informacin para su custodia. Esto proporcionara ms tiempo para descargar los resultados del mapa, que puede ser bastante grande. Obviamente, ambos archivos todava pueden ser alterados por un atacante experto posicionada para tomar ventaja de la situacin. Gestione cavar y trazar archivos de configuracin en el servidor Integrity, y utilizar FTimes 'get modo (es decir, - getMode) para recuperar de forma automtica en tiempo de ejecucin. Esto facilita la gestin centralizada y ayuda a proteger la informacin de configuracin potencialmente sensible. Utilice la URLPutSnapshot, URLPutURL, URLUsername, URLPassword y controles URLAuthType cuando quiera cargar automticamente los datos a un servidor Integrity que est configurado para manejar FTimes 'Escribe solicitudes. Si tiene una versin de SSL habilitado FTimes, usted debe asegurarse de que OpenSSL y / o de sus bibliotecas estn instalados y accesible para FTimes en la plataforma de destino. Cuando sea posible, los sistemas de archivos de destino de montaje como de slo lectura. Esto ayudar a 266

Traducido por Sykrayo Espaa

garantizar un mnimo de tiempo de perturbacin sello. En cualquier caso, FTimes registra con precisin la informacin de sello de tiempo antes de que sea modificada por cualquier acceso posterior.

267

Traducido por Sykrayo Espaa

EJEMPLOS Los siguientes ejemplos estn destinados a demostrar diferentes formas de configuracin y el uso FTimes. Cualquier texto encapsulada entre delimitadores '--- XXX ---' representa el contenido de un archivo.

Ejemplo 1. Uso del modo de mapa con el valor inicial y cargar En este ejemplo se muestra la forma de lnea de base de un sistema y cargar la instantnea resultante a un control de integridad Servidor. Lo primero que hay que hacer es obtener la informacin de carga necesaria. Supongamos que un servidor Integrity ya se ha configurado para recibir las instantneas. Adems, se supone que se ha proporcionado la siguiente informacin:
URL = https://192.168.1.50:443/cgi-client/nph-ftimes.cgi Tipo de autenticacin = Bsico Nombre de usuario / ClientID = client_1 Password = contrasea AllowedFieldMask = ALL-magia AllowedDataType = mapa Servidor valida certificados de cliente = N

Observar ese servidor remoto habla HTTPS. Por lo tanto, es necesaria una versin de SSL habilitado FTimes. Para determinar si FTimes tiene soporte SSL, ejecute el siguiente comando:
ftimes - versin

Si FTimes tiene soporte SSL, la salida tendr el siguiente formato:


ftimes X.X.X ssl

donde X.X.X es un nmero de versin. El siguiente punto a abordar es la creacin de un archivo de configuracin adecuado. El siguiente archivo contiene las instrucciones necesarias para completar esta tarea.
--- Example1.cfg --Nombre base = client_1 OutDir =. RUNTYPE = lnea de base FieldMask = ALLmagia URLPutSnapshot = Y URLPutURL =https://192.168.1.50:443/cgi-client / nph-ftimes.cgi URLAuthType = bsica URLUsername = client_1 URLPassword = contrasea URLCreateConfig = Y = Y Comprimir --- Example1.cfg ---

268

Traducido por Sykrayo Espaa

Tenga en cuenta que no hay directrices Include. Esta omisin hace que FTimes al mapa todo (es decir, todo el sistema).

269

Traducido por Sykrayo Espaa

Adems, tenga en cuenta que OutDir se ha establecido en el directorio actual (es decir, '.'). Esto, mientras que totalmente legal, supone que (1) '.' se puede escribir y (2) que hay suficiente espacio en disco para contener toda la salida generada. La compresin se activa para acelerar la transferencia de datos, y URLCreateConfig fue capaz de crear una carga de archivos de configuracin. Esto sera muy til si, por ejemplo, la carga falla. De lo contrario, no es necesario. El ltimo paso es ejecutar FTimes y revisar el resultado del registro correspondiente para garantizar la instantnea se ha subido correctamente.
ftimes - example1.cfg mapfull

Ejemplo 2. Uso del modo de excavacin para buscar cadenas Este ejemplo muestra cmo los archivos y directorios de bsqueda para un conjunto de cadenas de expresiones HEX / ASCII y regular. Dado que el sistema de archivo de destino es / Disk1, y la lista de cadenas a ser buscado son:
Cadena1 = Cadena2 = String3 = String4 = String5 = <tab|EOL> / dev / ptyqa 0xda 0xBE 0x00 A 0x00 A 0x00 A 0x00 A A fecha de forma <YYYY-MM-DD HH:MM:SS> Lnea direcciones IP orientadas de forma <BOL|tab> <192.168.1. *>

donde
BOL = Beginning Of Lnea EOL = End Of Line

Cuerdas 1-3 se expresan como (ignore los espacios en blanco) ASCII, HEX, y HEX / ASCII, respectivamente. 4 Strings y 5, por otro lado, son descripciones textuales que deben traducirse en expresiones regulares. Supongamos que el MatchLimit requerida es de tres. Es decir, no ms de tres partidos por archivo de cualquier cadena nica deben registrarse. El archivo de configuracin siguiente contiene las directivas necesarias para buscar todos los archivos / disco 1.
--- Example2.cfg --Nombre base = digger OutDir =. MatchLimit = 3 DigStringNormal = / dev / ptyqa DigStringNormal =% da% ser DigStringNoCase =% 00A% 00A% 00A% 00A DigStringRegExp = \ d {4} - \ d {2} - \ d {2} \ d {2}: \ d { 2}: \ d {2} DigStringRegExp = (?: ^ | \ T) (m?) (? = \ T | $) (. 192 \ .168 \ .1 \ \ d {1,3}) Include = / disk1 --- Example2.cfg ---

270

Traducido por Sykrayo Espaa

Observe que las cadenas de dos y tres son URL codificada y que cadena de tres sern procesados de manera insensible caso. Lea la descripcin de control DigStringNormal para obtener ms detalles sobre la codificacin URL. Observe tambin que la cuarta y quinta cuerdas corresponden a Perl expresiones regulares compatibles - este tipo de cadenas de excavacin estn disponibles cuando se ha compilado con soporte FTimes PCRE. Con los patrones DigStringRegExp, sin embargo, debe especificar no ms de una captura de '()' sub-patrn. Usted puede usar '(? :) Si necesita

271

Traducido por Sykrayo Espaa

parntesis adicionales para fines de agrupacin. Si no se especifica un sub-patrn de captura, a continuacin, se capturar todo el partido. En este caso particular, se capturar slo la direccin IP. En este punto FTimes pueden funcionar de la siguiente manera:
ftimes - diglean example2.cfg

Si se desea la espontaneidad sobre la configuracin estricta, cambiar al modo de digauto de operacin. En este modo, los archivos de configuracin complicados no son necesarios, y el resultado se escribe en la salida estndar. Adems, no se impone ningn lmite de partido. El siguiente ejemplo muestra cmo buscar un archivo de imagen (por ejemplo, example2.image) para un conjunto de cadenas especficas. La salida, en su caso, se puede canalizar a otras herramientas que tienen a su entrada en la entrada estndar.
--- Strings.cfg --DigStringNormal = Este cuadro + + es 0 wn3d DigStringNormal = 3l33t DigStringNormal = 175.20.1.7 DigStringNormal = hacklist@foo.bar.com --- Strings.cfg --ftimes - digauto strings.cfg example2.image | alguna-otra-herramienta

Slo recuerde que las cadenas de excavacin deben URL codificadas. Es por eso que los espacios de la primera cadena se han sustituido por '+'.

Ejemplo 3. Cambie el anlisis Este ejemplo muestra cmo detectar el cambio entre dos instantneas. Teniendo en cuenta que los siguientes archivos son vlidos, sin comprimir instantneas:
Base = daily_20001230203000.map Foto = daily_20001231203000.map

Comparar MD5 para determinar (C) ahorcado, (M) Issing, y (N) archivos ew. La nica observacin crtica necesaria aqu es que daily_20001230203000.map se considera que es la lnea de base. En otras palabras, una lnea de base es una instantnea tomada en un punto arbitrario en el tiempo para el cual se comparan instantneas posteriores. Esta comparacin se realiza con el siguiente comando:
ftimes - comparar ninguno + md5 daily_20001230203000.map daily_20001231203000.map

Para comparar los mltiples atributos al mismo tiempo, basta con especificar los campos adicionales en el FieldMask. Por ejemplo, la siguiente mscara comparara MD5, SHA1 y atributos de tamao:
Ninguno + md5 sha1 + + Tamao

Para comparar todos los atributos a la vez, utilizar una FieldMask de 'all'. 272

Traducido por Sykrayo Espaa

Ejemplo 4. Usando el modo de poner a cargar una instantnea Este ejemplo demuestra cmo cargar manualmente una instantnea de un servidor Integrity. Si bien esto no es definitivamente la manera ms fcil de transferir los datos, puede ser necesario en algn momento. Supongamos que usted tiene una instantnea que se cre previamente mediante el siguiente comando:
ftimes - maplean maplean.cfg

donde maplean.cfg contena las siguientes directivas:


--- Maplean.cfg --Nombre base = client_1 BaseNameSuffix = HashDirectories datetime = Y FieldMask = all-magia include = / etc OutDir = / mapas --- Maplean.cfg ---

Ahora, suponga que desea cargar los archivos de instantneas asociadas (vase ms adelante) a una cuenta en un control de integridad Servidor.
/ Maps/client_1_20001230203000.log / Maps/client_1_20001230203000.map

Lo primero que hay que hacer es obtener la informacin de carga necesaria. Supongamos que un servidor Integrity ya se ha configurado para recibir las instantneas. Adems, se supone que se ha proporcionado la siguiente informacin:
URL = https://192.168.1.50:443/cgi-client/nph-ftimes.cgi Tipo de autenticacin = Bsico Nombre de usuario / ClientID = client_1 Password = contrasea AllowedFieldMask = ALL-magia Servidor valida certificados de cliente = N

El siguiente paso es crear un archivo de configuracin. A excepcin de RUNTYPE, URLPutURL, URLAuthType, URLUsername y URLPassword, los controles en el fichero de configuracin siguientes se pueden obtener o bien derivada de la revisin del archivo de registro. Aqu RUNTYPE se ha fijado arbitrariamente en instantnea - tambin podra haber sido puesto a linktest o de referencia en funcin de sus necesidades.
--- Example4.cfg --Nombre base = client_1 LogFileName = / maps/client_1_20001230203000.log outfilename = / maps/client_1_20001230203000.map OutFileHash = 6958d1337f4f11312a402d0c8f9c050b DataType = mapa

273

Traducido por Sykrayo Espaa

FieldMask = all-magia DateTime = 20001230203000 RUNTYPE = snapshot URLPutURL =https://192.168.1.50:443/cgi-client/nph-ftimes.cgi URLAuthType = bsica URLUsername = client_1 URLPassword = contrasea

274

Traducido por Sykrayo Espaa

--- Example4.cfg ---

El ltimo paso es ejecutar FTimes y revisar el resultado del registro correspondiente para garantizar la instantnea se ha subido correctamente.
ftimes - putmode example4.cfg

Ejemplo 5. Usando el modo de llegar a descargar un archivo de configuracin Este ejemplo muestra cmo descargar un archivo de configuracin de un servidor Integrity. Lo primero que hay que hacer es obtener la informacin de descarga es necesario. Supongamos que un servidor Integrity ya se ha configurado para servir los archivos de configuracin. Adems, se supone que se ha proporcionado la siguiente informacin:
URL = https://www.integrity.net:443/cgi-client/nph-ftimes.cgi Tipo de autenticacin Bsico = Nombre de usuario / ClientID = client_1 Password = contrasea Servidor valida certificados de cliente = Y Nombre comn del servidor = www.integrity.net Mxima longitud de la cadena de certificados = 2

Observe que servidor remoto requiere certificados. Esto significa que usted necesitar tres PEM archivos codificados adicionales: Certificado pblica, clave privada, y autoridades de certificacin liados. Se supone que estos archivos se encuentran en el sistema de destino de la siguiente manera:
/ Usr / local / ftimes / etc / PublicCert.pem / Usr / local / ftimes / etc / PrivateKey.pem / Usr / local / ftimes / etc / BundledCAs.pem

Armado con esta informacin, el archivo de configuracin siguiente se puede construir.


--- Example5.cfg --Nombre base = client_1 URLGetURL =https://www.integrity.net:443/cgi-client/nph-ftimes.cgi URLGetRequest = MapFullConfig GetAndExec = N = URLAuthType URLUsername bsica = client_1 URLPassword = contrasea SSLUseCertificate = Y SSLPublicCertFile = / usr / local / ftimes / etc / PublicCert.pem SSLPrivateKeyFile = / usr / local / ftimes / etc / PrivateKey.pem SSLPassPhrase = contrasea SSLVerifyPeerCert = Y SSLBundledCAsFile = / usr / local / ftimes / etc / BundledCAs.pem SSLExpectedPeerCN = www.integrity.net SSLMaxChainLength = 2 --- Example5.cfg ---

El siguiente comando intentar descargar un archivo de configuracin mapfull de la integridad del servidor especificado. Si tiene xito, el contenido del archivo de configuracin se escriben en la salida estndar. 275

Traducido por Sykrayo Espaa

ftimes - getMode example5.cfg

276

Traducido por Sykrayo Espaa

Si quiere descargar directamente a un archivo, puede redirigir la salida a un archivo o agregar el control GetFileName a su archivo de configuracin. Luego, si desea descargar un archivo de configuracin y tomar una instantnea en una operacin, slo tiene que activar GetAndExec. Esto hace FTimes para reiniciar en modo - mapfull. Si URLGetRequest se establece en DigFullConfig, entonces FTimes pediran un archivo config digfull y posteriormente reiniciar en modo - digfull. Otra forma de lograr el mismo efecto es utilizar el archivo de configuracin original y la construccin de la siguiente tubera:
ftimes - getMode example5.cfg-l 6 | ftimes - mapfull -

Esto tiene la ventaja de que la informacin de configuracin potencialmente sensible no est escrito especficamente a un archivo en el disco. Por ltimo, tenga en cuenta que el LogLevel para el primer comando se establece en su valor ms alto. Esto se hace simplemente para reducir la salida del registro de ese proceso.

277

Traducido por Sykrayo Espaa

galleta: Analizador de la galleta por Internet Explorer. Desarrollado por Keith J. Jones. Disponible desde http://www.foundstone.com/resources/proddesc/galleta.htm Lo siguiente es de http://www.foundstone.com/resources/proddesc/galleta.htm Una herramienta de Internet Explorer cookies Anlisis Forense. Autor: Keith J. Jones, Informtica Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http://www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informtica forense es que todos los mtodos de anlisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de mtodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de cdigo abierto. Muchas investigaciones de delitos informticos requieren la reconstruccin de los archivos de cookies de Internet Explorer de un tema. Dado que esta tcnica de anlisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos de cookies. Galleta, la palabra espaola que significa "cookie", fue desarrollada para examinar el contenido de los archivos cookie. El fundamento de la metodologa de anlisis de Galleta ser documentado en un prximo libro blanco. Galleta analizar la informacin en un archivo de cookies y la salida de los resultados en un campo delimitado forma para que pueda ser importado en su hoja de clculo favorita. Galleta est diseado para funcionar en mltiples plataformas y se ejecutar en Windows (a travs de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: galleta [opciones] Opciones <filename>: -D Delimitador de campo (TAB por defecto) Ejemplo de uso: # Galleta antihackertoolkit.txt> cookies.txt Cookies.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenacin y filtrar los resultados

278

Traducido por Sykrayo Espaa

visin: Indexacin y sistema de consulta. Desarrollado por Golda Vlez. Disponible desde http :/ / webglimpse.net / Lo siguiente es de http://webglimpse.net/gdocs/glimpsehelp.html Vislumbrar (Que significa Search implcita global) es un popular indexacin UNIX y el sistema de consulta que le permite buscar a travs de un amplio conjunto de archivos muy rpidamente. Glimpse compatible con la mayora de opciones de agrep (agrep es nuestra poderosa versin de grep) incluyendo correspondencia aproximada (por ejemplo, la bsqueda de las palabras mal escritas), las consultas booleanas, e incluso algunas formas limitadas de expresiones regulares. Se utiliza de la misma manera, excepto que usted no tiene que especificar los nombres de archivo. Por lo tanto, si usted est buscando una aguja en cualquier parte de su sistema de archivos, todo lo que tienes que hacer es decir la aguja visin y todas las lneas que contienen la aguja aparecer precedido del nombre del archivo. Para utilizar vistazo primero tiene que indexar sus archivos con glimpseindex. Por ejemplo, glimpseindex-O ~ Indexar todo en o por debajo de su directorio personal. Glimpse tambin est disponible para los sitios web, como un conjunto de herramientas llamado WebGlimpse. Glimpse incluye todos agrep y se puede utilizar en lugar de agrep dando un nombre de archivo (s) al final del comando. Esto har vistazo a ignorar el ndice y ejecutar agrep como de costumbre. Por ejemplo, la idea del archivo de patrones -1 es el mismo que agrep archivo de patrones -1. Agrep se distribuye como un paquete independiente dentro visin, y se puede utilizar por separado. Hemos aadido una nueva opcin para agrep:-r busca recursivamente el directorio y todo por debajo de ella (ver opciones agrep abajo) y se utiliza solamente cuando vislumbre vuelve a agrep. SINOPSIS visin [-casi todas las letras] patrn INTRODUCCIN Comenzamos con formas sencillas de utilizar vistazo y describir todas las opciones en detalle ms adelante. Una vez que un ndice se construye utilizando glimpseindex, busca un patrn es tan fcil como decir patrn de visin La salida de visin es similar a la de agrep (o cualquier otra grep). El patrn puede ser cualquier patrn legal agrep incluyendo una expresin regular o una consulta booleana (por ejemplo, la bsqueda de Tucson y Arizona se realiza mediante visin `Tucson, Arizona). La velocidad de visin depende principalmente de la cantidad y el tamao de los archivos que contienen un partido y slo a un segundo grado en el tamao total de todos los archivos indexados. Si el patrn es bastante raro, entonces se informarn todos los partidos en pocos segundos, incluso si los archivos indexados suman 500 MB o ms. Parte de la informacin sobre el funcionamiento de vislumbrar y una referencia a un artculo detallado se indican a continuacin. 279

Traducido por Sykrayo Espaa

La mayora de agrep (y otros grep de) las opciones son compatibles, incluyendo correspondencia aproximada. Por ejemplo, vislumbrar -1 `Tuson; Arezona '

280

Traducido por Sykrayo Espaa

es la salida de todas las lneas que contienen ambos patrones permitiendo una error de ortografa en cualquiera de los patrones (Ya sea la insercin, eliminacin o sustitucin), que en este caso es, sin duda necesario. vislumbrar -W-i `padre ' especifica maysculas y minsculas (-i) y combinar las palabras completas (-w). As `Padre 'y' PADRE 'coincidirn,` padre / hijo coincidir, pero `parntesis' o` padres no coincidirn. (A partir de la versin 3,0, visin puede ser mucho ms rpido cuando se especifican estas dos opciones, especialmente en caso de grandes ndices. Es posible que desee crear un alias especial de "visin-w-i".) La opcin-F proporciona un patrn que debe coincidir con el nombre del archivo. Por ejemplo, vislumbrar -F '\. C $ "aguja encontrarn la aguja patrn en todos los archivos cuyo nombre termina con. c. (Glimpse comprobar primero su ndice para determinar qu archivos pueden contener el patrn y ejecute agrep en los nombres de archivo para limitar an ms la bsqueda.) La opcin-F no debe ponerse al final despus de que el patrn principal (por ejemplo, la "visin aguja-F heno "es incorrecto). Descripcin detallada de unaLL GlimpSE OPCIONES - # # Es un nmero entero entre 1 y 8 que especifica el nmero mximo de errores permitidos en la bsqueda de los partidos aproximados (el valor por omisin es cero). En general, cada insercin, delecin, sustitucin o cuenta como un error. Es posible ajustar el coste relativo de inserciones, deleciones y sustituciones (ver opciones-I-D-y S). Dado que el ndice almacena caracteres en slo menores, los errores de la sustitucin de maysculas a minsculas pueden pasarse por alto. Permitir que los errores en el partido requiere ms tiempo y puede ralentizar el partido en un factor de 2-4. Tenga mucho cuidado al especificar ms de un error, ya que el nmero de partidos tienden a crecer muy rpidamente. -Un impresiones atribuyen nombres. Esta opcin slo se aplica a Harvest datos estructurados SOIF (utilizados con glimpseindex-s). -Un utilizado para internos vislumbrar. -B impresin offset el byte (desde el principio del archivo) del extremo de cada partido. El primer carcter de un archivo ha compensado 0. -B Mejor modo de juego. (Advertencia:-B.. Veces pierde partidos es ms seguro especificar el nmero de errores de forma explcita) Al-B se especifica y no se encuentran coincidencias exactas, visin seguir buscando hasta que los partidos ms cercanos (es decir, los que tienen un nmero mnimo de los errores) se encuentran, por lo ese momento aparecer el siguiente mensaje: "el mejor partido de x contiene errores, hay partidos de y, salida de ellos (y / n)?" Este mensaje se refiere al nmero de partidos que se encuentran en el ndice. Puede haber muchos ms partidos en el propio texto (o puede haber 281

Traducido por Sykrayo Espaa

ninguna si-F se usa para filtrar los archivos). Cuando la opcin - #, c-, se especifican las opciones-o l, la opcin-B es ignorado. En general,-B puede ser ms lento que - #, pero no por mucho. Dado que el ndice almacena caracteres en slo menores, los errores de la sustitucin de maysculas a minsculas pueden pasarse por alto. -C Mostrar slo el nmero de registros coincidentes. Slo se muestran los archivos con contador> 0.

282

Traducido por Sykrayo Espaa

-C dice vistazo enviar sus consultas a glimpseserver. -D 'Delimitado' Definir delimitado como el separador entre dos registros. El valor por defecto es "$", es decir, un registro por defecto es una lnea. delimitador puede ser una cadena de tamao de a lo sumo 8 (con posible uso de y ^ $), pero no una expresin regular. Texto delimitado entre dos de, antes del primer delimitador, y despus del ltimo delimitador se considera como un registro. Por ejemplo,-d '$ $' define prrafos como registros y-d '^ From \' define los mensajes de correo como registros. visin coincide con cada registro por separado. Esta opcin no funciona actualmente con expresiones regulares. La opcin-d es especialmente til para los operadores booleanos AND consultas, debido a que los patrones no deben aparecer en la misma lnea pero en el mismo registro. Por ejemplo,
correo-d '^ From \' 'visin vistazo-F, arizona, anuncio'

es la salida de todos los mensajes de correo electrnico (en su totalidad) que tienen los 3 patrones en cualquier parte del mensaje (o el encabezado), suponiendo que los archivos con 'mail' en su nombre contienen mensajes de correo. Si desea que el mbito del expediente que todo el archivo, utilice la opcin-W. Advertencia Glimpse: Utilice esta opcin con cuidado. Si se define el delimitador para que coincida con mensajes de correo, por ejemplo, y vislumbrar encuentra el patrn en un archivo normal, no puede encontrar el delimitador y por lo tanto dar salida a todo el archivo. (La opcin-t - ver abajo - se puede utilizar para poner el delimitador al final del registro.) Funcionamiento Nota: agrep (y visin) recurre a la bsqueda ms compleja cuando se utiliza la opcin-d. La bsqueda es ms lento y por desgracia no ms de 32 caracteres se pueden utilizar en el patrn. -D kEstablecer el coste de una delecin en k (k es un nmero entero positivo). Esta opcin no funciona actualmente con expresiones regulares. -E Es til cuando el patrn comienza con un -. -E imprime las lneas en el ndice (tal y como aparecen en el ndice), que coinciden con el patrn. Se utiliza principalmente para la depuracin y el mantenimiento del ndice. Esto no es una opcin que un usuario necesita saber. -F nombre_archivo esta opcin tiene un significado diferente para agrep que para vislumbrar: En visin, slo los archivos cuyos nombres figuran en nombre_archivo coinciden. (Los nombres de los archivos tienen que aparecer como en . Glimpse_filenames.) En agrep, el nombre_archivo contiene la lista de los patrones que se buscan. -F file_pattern limita la bsqueda a los archivos cuyo nombre (incluyendo la ruta completa) coincide file_pattern. Esta opcin se puede utilizar en una variedad de aplicaciones para proporcionar bsqueda limitada incluso para un ndice grande. Si file_pattern coincide con un directorio, se tendrn en cuenta todos los archivos con este directorio en su camino. Para limitar la bsqueda a los nombres de los archivos, utilice $ al final de la pauta. file_pattern puede ser una expresin regular e incluso un patrn booleano. Esta opcin se implementa mediante la ejecucin agrep file_pattern en la lista de nombres de archivos obtenidos del ndice. Por lo tanto, la bsqueda del propio ndice toma la misma cantidad de tiempo, pero limitando la segunda fase de la bsqueda de slo unos pocos archivos se puede acelerar la bsqueda de manera significativa. Por ejemplo, -F vistazo 'src #. c \ $' aguja 283

Traducido por Sykrayo Espaa

buscarn aguja en absoluto. c archivos con el original en algn punto del camino. El Ffile_pattern debe comparecer ante el patrn de bsqueda (por ejemplo, visin aguja-F '\. $ C' no funcionar). Es posible utilizar algunas de las opciones de agrep cuando coincidan con los nombres de archivo. En este caso todas las opciones, as como el file_pattern deben estar entre comillas. (-B y-v no funciona muy bien como parte de un file_pattern.) Por ejemplo,

284

Traducido por Sykrayo Espaa

patrn de visin-F '-1 \. html' permitir un error ortogrfico al emparejar. html para los nombres de archivo (por lo que ". htm" y ". shtml" coincidir tambin). visin-F '-v \. c $ "contra buscar "contra" en todos los archivos excepto los archivos. c. -G imprime el nmero de archivo (su posicin en el archivo glimpse_filenames.) en vez de su nombre. -G Salida de los archivos (conjunto) que contienen un partido. -H No mostrar nombres de archivos. -H nombre_directorio busca la de los dems. archivos vislumbrar en nombre_directorio ndice y. El valor predeterminado es el directorio inicial. Esta opcin es til, por ejemplo, si varios ndices diferentes se mantienen para diferentes archivos (por ejemplo, una para mensajes de correo electrnico, uno para el cdigo fuente, uno de los artculos). -I Bsqueda Case-insensible - por ejemplo, "A" y "a" se consideran equivalentes. ndice de Glimpse almacena todos los patrones en minsculas. Rendimiento Nota: Cuando se utiliza-i con la opcin-w, la bsqueda puede llegar a ser mucho ms rpido. Se recomienda tener-i y w como valores por defecto, por ejemplo, a travs de un alias. Utilizamos los siguientes alias en nuestro archivo. Cshrc. Br alias glwi 'mirada-w-i' -Me kEstablecer el coste de una insercin en k (k es un nmero entero positivo). Esta opcin no funciona actualmente con expresiones regulares. -J Si el ndice se construy con la opcin-t, entonces j es la salida de los archivos ltimas fechas de modificacin, adems de todo lo dems. No hay grandes reducciones del rendimiento para esta opcin. -J nombre_host se utiliza junto con glimpseserver (-C) para conectarse a un servidor en particular. -K Sin smbolo en el patrn es tratado como un carcter de meta. Por ejemplo, visin-k 'a (b | c) * d' da como resultado las ocurrencias de un (b | c) * d mientras que la visin 'a (b | c) * d' encontrar subcadenas que coincidan con la expresin regular ' a (b | c) * d '. (La nica excepcin es ^ al principio del patrn y $ al final del patrn, que todava se interpretan de la forma habitual. Utilice \ ^ o \ $ si los necesita textualmente.) -K nmero_puerto se utiliza junto con glimpseserver (-C) para conectarse a un servidor en particular en el nmero de puerto TCP especificado. -L Salida slo los nombres de los archivos que contienen este partido. Esta opcin difiere de la opcin-N en el que se busca en los archivos propios, pero las lneas que coincidan no se muestran. -L x | x: y | x: y: z si se le da un nmero, se trata de un lmite en el nmero total de partidos. Glimpse salidas slo los x primeros partidos. Si-l se utiliza (es decir, se buscan slo los

285

Traducido por Sykrayo Espaa

nombres de archivo), entonces el lmite est en el nmero de archivos, de lo contrario, el lmite est en el nmero de registros. Si se dan dos nmeros (X: y), entonces y es aadido un lmite en el nmero total de archivos. Si se dan tres nmeros (x: y: z), entonces z es un lmite aadido en el nmero de coincidencias por archivo. Si alguna de las x, y o z se establece en 0, que significa

286

Traducido por Sykrayo Espaa

ignorarlo (en otras palabras, 0 = infinito en este caso), por ejemplo, L-doce y diez da salida a todos los partidos a los primeros 10 archivos que contienen un partido. Esta opcin es especialmente til para los servidores que necesita limitar la cantidad de salida proporcionada a los clientes. -M utilizado para internos vislumbrar. -M utilizado para internos vislumbrar. -N Cada registro coincidente (lnea) es prefijado por su nmero de registro (lnea) en el archivo. Rendimiento Nota: Para calcular el nmero de registro / lnea, agrep tiene que buscar todos los delimitadores de registro (o saltos de lnea), lo que puede retrasar la bsqueda. -N Busca slo en el ndice (por lo que la bsqueda es ms rpida). Si-o o-b se utilizan entonces el resultado es el nmero de archivos que tienen un partido ms el potencial de un mensaje para preguntarle si desea ver los nombres de archivo. (Si-y se utiliza, entonces no es rpido y los nombres de los archivos aparecer.) Esto podra ser una manera de conseguir los nombres de archivo coincidentes sin tener acceso a los archivos propios. Sin embargo, debido a que slo el ndice se busca, algunas posibles coincidencias no pueden ser partidos reales. En otras palabras, con-N que no se pierda ningn archivo, pero usted puede conseguir los archivos adicionales. Por ejemplo, desde las tiendas de ndice todo en minsculas, una consulta entre maysculas y minsculas puede coincidir con un archivo que tiene slo un partido entre maysculas y minsculas. Consultas booleanas pueden coincidir con un archivo con todas las palabras clave, pero no en la misma lnea (indexacin con-b permite vislumbrar a averiguar si las palabras clave se encuentran cerca, pero no puede entender a partir del ndice si estn exactamente en la misma lnea o en el mismo registro sin mirar el archivo). Si el ndice no fue construido con-O o-b, a continuacin, esta opcin genera el nmero de bloques que coincidan con el patrn. Esto es til como una indicacin de cunto tiempo tomar la bsqueda. Todos los archivos se dividen en general 200-250 bloques. Los archivos. Glimpse_statistics contiene el nmero total de bloques (o visin-N A dar una buena estimacin, a pocas manzanas sin las ocurrencias de "a" se perdi). -O de lo contrario-t: el delimitador no se emite en la cola, pero en el comienzo del registro emparejado. -O los nombres de archivo no se impriman antes de cada registro que cumpla, en su lugar, cada nombre de archivo se imprime slo una vez, y todos los registros coincidentes en que se imprimen despus de ella. -P (Desde la versin 4.0b1 slo) Soporta lectura de establecer comprimida de nombres de archivo. La opcin-p le permite utilizar `barrios 'comprimido (conjuntos de nombres de archivos) para limitar su bsqueda, sin descomprimirlos. Aadido principalmente para WebGlimpse. El uso es: "-p nombre del archivo: X: Y: Z", donde "nombre" es el archivo comprimido con los barrios, X es un desplazamiento en el archivo (normalmente 0, debe ser un mltiplo de sizeof (int)), Y es la visin longitud debe acceder a ese fichero (si es 0, entonces todo el archivo, debe ser un mltiplo de sizeof (int)) y Z debe ser 2 (indica que "nombre" tiene escasa-set representacin de los barrios comprimidos: los otros valores son slo para uso interno). Tenga en cuenta que cualquier dos puntos ":" en el nombre del archivo debe ser escapado con una barra invertida \. 287

Traducido por Sykrayo Espaa

-P utilizado para internos vislumbrar. -Q imprime los desplazamientos del comienzo y final de cada registro emparejado. La diferencia entre-q y-b-b es que imprime los desplazamientos de la cadena coincidente real, mientras que-q Imprime los desplazamientos de todo el disco donde se produjo el encuentro. El formato de salida es @ x {y}, donde x es el desplazamiento comienzo e y es el final de desplazamiento.

288

Traducido por Sykrayo Espaa

-Q cuando se utiliza junto con-N visin no slo muestra el nombre de archivo donde se produce el partido, pero las ocurrencias exactas (offsets) como se ve en el ndice. Esta opcin slo es relevante si el ndice se construy con-b, de lo contrario, las compensaciones no estn disponibles en el ndice. Esta opcin se ignora cuando se utiliza no con-N. -R Esta opcin es una opcin agrep y se tendr en cuenta en la idea, a menos visin se utiliza con un nombre de archivo al final lo que hace que funcione como agrep. Si el nombre de archivo es un nombre de directorio, la opcin-r buscar (recursivamente) todo el directorio y todo por debajo de ella. (No se utiliz el ndice de visin.) -R kdefine el tamao mximo (en bytes) de un registro. El valor mximo (que es el valor predeterminado) es 48K. Definicin de la mxima a ser menor que la deafult puede acelerar algunas bsquedas. -S Trabajar en silencio, es decir, mostrar nada ms que mensajes de error. Esto es til para verificar el estado de error. -S kEstablecer el coste de un cambio en k (k es un nmero entero positivo). Esta opcin no funciona actualmente con expresiones regulares. -T Similar a la opcin-d, excepto que el delimitador se asume que aparecer al final del registro. Glimpse es la salida del registro a partir de finales de. I DELIM (e incluyendo) la prxima. I delimitado. (Consulte la advertencia de la opcin-d.) -T directorio Utilice el directorio como un lugar donde se construyen los archivos temporales. (Glimpse produce unos pequeos archivos temporales generalmente en / tmp.) Esta opcin es til sobre todo en el contexto de consultas estructuradas para el proyecto de la cosecha, donde los archivos temporales pueden ser no trivial, y el directorio / tmp puede no tener suficiente espacio para ellos. -U (A partir de la versin 4.0b1) Interpreta un ndice creado con la opcin-U en la glimpseindexX o. til sobre todo para aplicaciones web WebGlimpse o similar. Al vislumbrar salidas de partidos, se mostrar el nombre del archivo, la URL y el ttulo de forma automtica. -V (Esta opcin es una opcin agrep y se tendr en cuenta en la idea, a menos visin se utiliza con un nombre de archivo al final lo que hace que funcione como agrep.) Salida de todos los registros / lneas que no contienen un partido. -V imprime la versin actual de visin. -W Bsqueda para el patrn como una palabra \ (em es decir, rodeado de caracteres no alfanumricos Por ejemplo, visin-w coche va a coincidir con coche, pero no caracteres y no car10 El no alfanumrico debe rodear el partido;.. No pueden ser contados . como errores Esta opcin no funciona con expresiones regulares Rendimiento Nota:. Cuando-w se usa junto con la opcin-i, la bsqueda puede llegar a ser mucho ms rpido El-w no funciona con $, ^ y _ (vea FALLOS. ms adelante). Se recomienda he-i y w como valores por defecto, por ejemplo, a travs de un alias. Usamos los siguientes alias en nuestro. cshrc
alias glwi 'visin-w-i'

-W El valor predeterminado de Boolean y consultas es que cubren un registro (el valor

289

Traducido por Sykrayo Espaa

predeterminado para un registro es una lnea) a la vez. Por ejemplo, la visin 'bueno, malo "har salir todas las lneas que contienen tanto" bueno "y

290

Traducido por Sykrayo Espaa

"Malo". La opcin-W cambia el alcance de booleanos que todo el archivo. Dentro de una visin de archivos es la salida de todos los partidos a cualquiera de los patrones. Por lo tanto, vislumbrar-W-bueno, malo "har salir todas las lneas que contienen "Bueno" o "malo", pero slo en los archivos que contienen los dos patrones. Para consultas estructuradas, el mbito es siempre el atributo o conjunto de archivos. -X El patrn debe coincidir con toda la lnea. (Esta opcin se traduce a W cuando se busca en el ndice y se usa slo cuando se busca en el texto actual. Es de uso limitado en visin.) -X (Desde la versin 4.0b1 slo) de salida de los nombres de archivos que contengan un partido, incluso si estos archivos se han eliminado ya que el ndice se construy. Sin esta opcin vistazo, simplemente ignorar estos archivos. -Y No preguntar. Proceda con el partido como si la respuesta a cualquier pregunta es y. Servidores (u otros scripts) utilizando visin probablemente desee utilizar esta opcin. -Y kSi el ndice se construy con la opcin-t, entonces Y x se emiten solamente partidos de los archivos creados o modificados en los ltimos x das. No hay grandes reducciones del rendimiento para esta opcin. -Z Permitir filtrado personalizables, utilizando el archivo. Glimpse_filters para realizar los programas enumerados all durante cada partido. El mejor ejemplo es comprimir / descomprimir. Si. Glimpse_filters incluyen la lnea
*. Z descomprimir <

(Separado por tabuladores), entonces antes de indexar cualquier archivo que coincida con el patrn "*. Z" (la misma sintaxis que el de. Glimpse_exclude) el comando listado se ejecuta primero (suponiendo de entrada es a partir de la entrada estndar, por lo que necesita descomprimir <) y su salida (suponiendo que va a la salida estndar) est indexada. El propio archivo no se cambia (es decir, se queda comprimida). Entonces, si se utiliza vistazo-z, el mismo programa se utiliza en estos archivos sobre la marcha. Cualquier programa puede ser utilizado (corremos 'exec'). Por ejemplo, se puede filtrar partes de los archivos que no deben ser indexados. Glimpseindex trata de aplicar todos los filtros en . Glimpse_filters en el orden en que se dan. Por ejemplo, si desea descomprimir un archivo y luego extraer una parte de ella, ponga el mando de compresin (el ejemplo de arriba) y luego otra lnea que especifica la extraccin. Tenga en cuenta que esto puede ralentizar la bsqueda por los filtros deben ser ejecutados antes de que se busca en los archivos. (Vase tambin glimpseindex.) -Z No op. (Es til para las partes internas de vislumbrar. Confe en nosotros.) PATTERNS vislumbrar es compatible con una gran variedad de modelos, incluyendo cuerdas simples, cuerdas con clases de personajes, juegos de cuerdas, comodines y expresiones regulares. Cuerdas Las cadenas son cualquier secuencia de caracteres, incluyendo los smbolos `^ 'especiales de inicio de la lnea y '$' Para la final de la lnea. Los siguientes caracteres especiales ('$', `^ ',' * ',' [',` ^', `| ',' (',') ',`' y `\ '!), As como el siguiendo meta caracteres especiales para vislumbrar (y agrep):. ';', ',', '#', '<', '>', 291

Traducido por Sykrayo Espaa

`- 'y`', debe ser precedido por '\' si son que se ajustar como personajes regulares. Por ejemplo, \ ^ abc \ corresponde a la cadena ^ abc \, mientras que ^ abc corresponde a la cadena ABC en el principio de una lnea.

292

Traducido por Sykrayo Espaa

Clases de personajes una lista de caracteres entre [] (en orden) se corresponde con cualquier carcter de la lista. Por ejemplo, [a-ho-z] es cualquier carcter entre a y h o entre o y z. El smbolo '^' dentro de [] complementa la lista. Por ejemplo, [^ a] denotar cualquier personaje en el juego de caracteres, excepto carcter 'i' a 'n'. El smbolo `^ 'por lo tanto tiene dos significados, pero esto es consistente con egrep. Los 'smbolo'. (No atencin) significa cualquier smbolo (excepto para el smbolo de lnea nueva). Operaciones booleanas Vislumbrar apoya una "operacin denotada por el smbolo ';' 'y una' operacin denotada por el smbolo`, '`OR, una versin limitada de un' NO 'operacin (a partir de la versin 4.0b1) denota con el smbolo `~ ', O cualquier combinacin. Por ejemplo, la visin `de pizza, hamburguesa con queso 'emitirn todas las lneas que contienen ambos patrones. visin-F `gnu, \ c $ '` define, por defecto'. sacar todas las lneas que contienen tanto definir `'y` default' (en cualquier lugar de la lnea, no necesariamente en orden) en los archivos cuyo nombre contenga `gnu 'y termina a. c. visin `{poltico, equipo}; ciencia 'coincidir con' ciencia poltica 'o' la ciencia de las computadoras. La operacin NOT slo funciona junto con la opcin-W y generalmente slo se aplica a todo el archivo en lugar de los registros individuales. En la actualidad no funciona con coincidencia aproximada. Su rendimiento puede a veces parecer contradictorio. Use con cuidado. visin-W 'Fama, gloria ~' es la salida de todas las lneas que contienen "fama" en todos los archivos que contengan "fama" pero no contienen 'Gloria'; Este es el uso ms comn de NO, y en este caso funciona como se esperaba. visin-W '~ {Fama, gloria}' se limita a archivos que no contengan esas dos palabras, y es la salida de todas las lneas que contienen una de ellas. Los comodines El smbolo `# 'se utiliza para indicar una secuencia de cualquier nmero (incluyendo 0) de caracteres arbitrarios. El smbolo # es equivalente a. * En egrep. De hecho,. * Funcionar tambin, porque es una expresin regular vlida (vase ms adelante), pero a menos que sea parte de una expresin regular real, # funcionar ms rpido. (En la actualidad visin est experimentando algunos problemas con #.) Combinacin de correspondencia exacta y aproximada Cualquier patrn entre parntesis angulares <> debe coincidir con el texto tal y aunque el partido es con errores. Por ejemplo, <mathemat> ics coincide matemtica con un error (en sustitucin de la ltima s con a), pero mathe <matics> no coincide matemtica no importa cuntos errores estn permitidos. (Esta opcin est libre de errores en el momento.) Las expresiones regulares Dado que el ndice se basa palabra, una expresin regular debe coincidir con las palabras que aparecen en el ndice de visin para encontrarlo. Glimpse elimina primero la expresin regular de todos los caracteres no alfabticos, y busca en el ndice para todas las palabras restantes. A continuacin, aplica la expresin regular que coincide con el algoritmo de los archivos que se encuentran en el ndice. Por ejemplo, la idea `abc. * Xyz 'van a buscar en el ndice de todos los archivos que contienen a la vez` abc' y `xyz" y, a continuacin, buscar directamente `abc. * Xyz" en esos archivos. (Si utiliza vistazo-w `abc. * Xyz ', y luego' abcxyz 'no se encuentra, porque vistazo pensar que abc y xyz deben ser coincidencias con palabras completas.) La sintaxis de las expresiones regulares en visin, en general, el mismo que para agrep. La operacin de unin `| ', cierre de Kleene' * ', y los parntesis () son compatibles. Actualmente `+ 'no es compatible. Las expresiones regulares se limitan actualmente 293

Traducido por Sykrayo Espaa

a aproximadamente 30 caracteres (generalmente excluyendo meta caracteres). Algunas opciones (-d,-w,-t,-x, - d,-i,-S) no funcionan actualmente con expresiones regulares. El nmero mximo de errores para regulares expresiones que utilizan `* 'o` |' es 4. consultas estructuradas Glimpse apoya algn tipo de consultas estructuradas que utilizan el formato SOIF de Harvest. Ver Consultas estructuradas para ms detalles.

294

Traducido por Sykrayo Espaa

EXAMPLES aguja vistazo-F `haystack.h $ ' encuentra todos los archivos de todas las agujas en haystack.h 's. visin -2-F HTML Anestesiologa salidas de todas las apariciones de Anestesiologa con dos errores en archivos con HTML en su nombre completo en alguna parte. visin-l-F `. nombrevariable c $ ' se enumeran los nombres de todos. c archivos que contienen nombrevariable (L-opcin enumera los nombres de archivos en lugar de salida de las lneas coincidentes). visin-F `electrnico; 1993 '` windsurf, Arizona encuentra todas las lneas que contienen el windsurf y Arizona en todos los archivos que tengan `mail 'y` 1993' en su nombre completo en alguna parte. visin-F `electrnico t.j @ # uk ' busca todas las direcciones de correo electrnico (buscar slo los archivos con el correo en algn lugar de su nombre) desde el Reino Unido, donde el nombre de inicio de sesin termina con tj, donde el. representa cualquier carcter. (Esto es muy til para encontrar un nombre de usuario de alguien cuyo segundo nombre no se sabe.) visin-F mbox-h-G. > MBOX concatena todos los archivos cuyo nombre coincide con `mbox 'en uno mayor.

295

Traducido por Sykrayo Espaa

grepmail: Grep travs de buzones. Desarrollado por David Coppit. Disponible desde http://grepmail.sourceforge.net/ A continuacin se toma de http://grepmail.sourceforge.net / Bsqueda de mensajes de correo electrnico en un buzn normal o comprimida utilizando una expresin regular o fecha de delimitacin. Caractersticas: Gzip, bzip2, apoyo tzip Hilo apoyado entrada (comprimido o no) Soporta fechas complejas como "entre 15 de enero 1999, y hace 5 semanas" Puede ignorar archivos adjuntos MIME no textual Puede buscar slo el encabezado o slo el cuerpo de un correo electrnico Puede subdirectorios recursivamente Optimiza automticamente la velocidad frente a la flexibilidad en la bsqueda basada en restricciones de fecha. La siguiente es tomado de la orden: grepmail
grepmail 5.3032 uso: grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] [-e] <patrn> <files...> grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] -E <expr> <files...> grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] -F <pattern-file> <files...> Al menos uno de-s,-s,-u,-e, y-E debe ser especificado, y puede aparecer en cualquier orden relativo despus de las otras banderas. La bandera-e es opcional si el patrn aparece inmediatamente antes de-s o-d. Los archivos pueden ser simples archivos ASCII o ASCII comprimido con gzip, tzip o bzip2. -E permite coincidencias de modelos complejos con operadores lgicos. Si no se proporciona ningn archivo, entrada ASCII normal o comprimido se toma de STDIN. -Un uso recibido fecha en lugar de fecha de envo de-d juego B-bsqueda debe coincidir con el cuerpo B-cuerpo de los mensajes de impresin, pero con slo encabezados limitados -C Especifique la ubicacin del archivo de cach -D Especifique un intervalo de fechas requerido (vase ms adelante)

296

Traducido por Sykrayo Espaa

Modo Debug-D

297

Traducido por Sykrayo Espaa

-E explcitamente patrn de la bsqueda de cadenas que comienzan con "-") nombre (cuando -E Especifique una expresin de bsqueda compleja -F Lee los patrones de un archivo -F Fuerza de procesamiento de todos los datos como buzones -H Search debe coincidir con cabecera -H encabezados de impresin pero no los cuerpos de mensajes de correo electrnico que coincidan -I Ignora caso de la expresin de bsqueda -J bsqueda debe coincidir con el estado (A = contestado, R = read, D = eliminado, O = viejo, F = marcado) -L salida los nombres de archivos que tienen un correo electrnico a juego de la expresin -M no buscan no son de texto adjuntos MIME -M Append "X-Mailfolder: <carpeta>" a todas las cabeceras para indicar en qu carpeta la coincidir ocurrido -N Imprimir la informacin de nmero de lnea (y el nombre si es necesario) para los mensajes de correo electrnico -Q Modo silencioso - no hacer advertencias de salida -R Salida de los nombres de los archivos y el nmero de mensajes de correo electrnico que coinciden con la expresin Directorios Recurse-R -S Especifica un rango de tamao en bytes (ver ms abajo) -S Ignorar firmas -U Asegrese de que no hay correos electrnicos duplicados se emiten -V correos electrnicos de salida que no coinciden con la expresin -V Muestra el nmero de versin -W Coincide lmites de las palabras -X Especifique una expresin regular para el separador de la firma -Y Especifica un encabezado a la bsqueda (implica-h) - Help Muestra un mensaje de ayuda Conocer las limitaciones requieren Fecha :: Analizar. la forma Especificaciones de fecha debe ser de: - Una fecha como "hoy", "Jueves primera en junio (Requiere Date ::) de 1992" "05/18/93", "12:30 12 de 1880 "," 20:00 diciembre dcimo ", diciembre - "Antes", "despus de", o "desde", seguido de una fecha como se ha definido anteriormente, - "Entre <fecha> y <fecha>", donde <fecha> se define como anteriormente. Limitaciones de tamao debe ser de la forma de: - 12345: match tamao de exactamente 12.345 - <12.345, <= 12345,> > = 12.345: coincidir con tamao menor que, menor 12345, que o igual, mayor que, o mayor que o igual a 12.345 - 10.000 a 12.345: match tamao entre 10000 y 12345 inclusive

298

Traducido por Sykrayo Espaa

logfinder.py: EFF utilidad logfinder. Desarrollado por Ben Laurie y Seth Schoen. Disponible desde http://www.eff.org / osp / A continuacin se toma de http://www.eff.org/osp/ logfinder 0.1 - Localice los archivos de registro en los sistemas de Muchos administradores de sistemas no saben exactamente lo que los registros que tienen hasta que hayan examinado la cuestin. A menudo, el registro fue habilitado por defecto - o por los administradores de sistemas anteriores - y por lo que sus sistemas se puede mantener registros que nunca tuvo la intencin. Hemos creado un programa llamado logfinder como una forma sencilla de localizar los archivos que pueden ser registros en un sistema existente. logfinder utiliza expresiones regulares para buscar archivos locales con contenidos "log-like", puede personalizar las expresiones si es necesario para satisfacer sus necesidades. logfinder requiere Python 2 o mayor y encuentra registros en archivos de texto en un sistema POSIX. (Tambin puede encontrar algunos datos de inicio de sesin como en archivos binarios si los archivos binarios representan los datos en forma de texto.) A continuacin se toma de http:/ / Www.eff.org / nuevos/archives/2005_02.php Logfinder ayuda a eliminar el registro deseado de Datos Personales San Francisco, CA - Hoy la Electronic Frontier Foundation (EFF) public logfinder, una herramienta de software para ayudar a las personas a reducir la coleccin innecesaria de informacin personal acerca de los usuarios de computadoras. A menudo, los servidores de la red de ordenadores registran automticamente informacin acerca de que ha visitado un sitio web y cundo, o que se envan y reciben correo electrnico. Estos datos dicen mucho sobre navegacin de un usuario y los hbitos de correo electrnico y se podran utilizar de forma privada invasivos. Por otra parte, los datos de registro debern ser entregados a entidades del gobierno con las rdenes judiciales y pueden ser citados por los bandos opuestos en las causas judiciales. Al encontrar los archivos de registro no deseados, logfinder informa a los administradores del sistema cuando sus servidores estn recogiendo datos personales y les da la oportunidad de desactivar el registro si no est recogiendo la informacin necesaria para la administracin del sistema. Logfinder fue concebido por el consultor de seguridad de Ben Laurie y escrita por EFF personal tecnlogo Seth Schoen. Es la intencin de complementar el papel de la EFF reciente blanco, "Mejores prcticas para proveedores de servicios en lnea", en la que la organizacin sostiene que los administradores deben eliminar tantos registros como sea posible y eliminar todos los datos de identificacin personal de los mismos. "Las personas que optan por seguir nuestras recomendaciones en el libro blanco puede no saber qu tipo de registros que tienen", dijo Schoen. "Logfinder es un ejemplo de una forma de un administrador del sistema podra llegar a ser consciente de la presencia de los registros, as como descubrir informacin sensible est recogida en los registros conocidos." 299

Traducido por Sykrayo Espaa

El siguiente es del comando: logfinder.py-h ************************************************** ********************* Por favor considere las limitaciones de este programa, que no es capaz de encontrar todos los tipos posibles de archivo de registro o identificar cada posible problema de retencin de datos. Ver README para ms informacin. Para obtener ms informacin acerca de la retencin de datos, por favor consulte los recursos del FEP para los proveedores de servicios en lnea en <http://www.eff.org/osp/>. ************************************************** ********************* Uso: # Logfinder.py [-w] [-l lneas] [-c] [-h | - help] [ruta] [ruta] [...] Con-c o sin ruta, busque la actividad de registro actual en el sistema de archivos abiertos. Con una ruta o rutas especificadas, buscar log-como texto en archivos dentro de la ruta o rutas especificadas. De forma predeterminada, mira las primeras 100 lneas de este tipo de archivos, si no se especifica-l, mira el nmero especificado de lneas en lugar, si-w se especifica, mira el archivo completo. Para obtener la mxima especifique la ruta "/". cobertura,

300

Traducido por Sykrayo Espaa

logsh: Iniciar la sesin de terminal Desarrollado por Amir Guindehi. Disponible desde http://open.datacore.ch/download/ La siguiente es tomado del archivo README. La Shell Log es un shell restringido que permite una sesin de usuario a no hacer nada ms que mirar a un archivo de registro. La Shell sesin hace, en esencia, un "tail-f" en un archivo de registro codificado en el sistema de archivos. El Shell de registro es capaz de filtrar el archivo de registro de acuerdo con las expresiones regulares simples definidos en la lista de filtro y lista de archivos de configuracin de grep. Estos filtros permiten que el administrador del sistema para filtrar distancia normal - No importa - los mensajes de registro que permiten al usuario ver slo los mensajes realmente importantes. Entrar listas de filtros y listas grep se pueden combinar para expresiones lgicas usando & (y), | (o) las expresiones. Adems, el usuario tiene la abillity para ver ms mensajes de registro slo contienen patrones especficos (por ejemplo, grep) y para ver nicamente los mensajes de registro procedentes de un host especfico. Usted y el uso (y) y | (o) para dar registro de Shell expresiones lgicas de los patrones que tienen que coincidir. La Shell Log permite las marcas cada de usuario en la salida y para aadir nuevas lneas para la produccin con fines de separacin de mensaje de registro. Tambin es posible borrar la pantalla de salida. El usuario es capaz de volver a cargar las listas de configuracin y el filtro de la ejecucin de cscaras de registro mediante el envo de un SIGUSR1 para el proceso o por un comando de usuario. En cualquier momento el usuario puede desplazarse hacia atrs 5kB o 15KB de mensajes de registro de una sola pulsacin de tecla. Aplicacin Helix Cuando logsh se inici en Helix, muestra la siguiente informacin: Toda la actividad se registra en ~ / ttylog / Stop log escribiendo exit Reproduccin de archivos de registro con: Repetir DATE_tty.log.timing DATE_tty.log En el directorio ~ / ttylog /, el investigador encontrar registros con nombres como: Feb07-171136-tty_0.log Feb07-171136-tty_0.log.timing El archivo. Log es una copia de toda la consola de E / S, mientras que el archivo. Momento se mantiene un seguimiento de la secuencia de comandos para que la sesin se puede reproducir con el comando de repeticin. 301

Traducido por Sykrayo Espaa

lshw: Hardware Lister. Creado por Lyonel Vincent, disponible en http://ezix.sourceforge.net / software / lshw.html lshw (Hardware Lister) es una pequea herramienta para proporcionar informacin detallada sobre la configuracin de hardware de la mquina. Puede reportar configuracin exacta, la versin de firmware de memoria, placa base de configuracin, la versin de CPU y velocidad, configuracin de cach, velocidad del bus, etc en sistemas x86 o EFI (IA-64) DMI-capaces y en algunas mquinas PowerPC (PowerMac G4 se sabe que trabajar). La informacin puede ser de salida en texto plano, XML o HTML. Es compatible actualmente DMI (x86 y slo EFI), rbol OpenFirmware dispositivo (slo en PowerPC), PCI / AGP, ISA PnP (x86), CPUID (x86), IDE / ATA / ATAPI, PCMCIA (slo probado en x86), USB y SCSI (Vincent, 2006). Uso lshw [formato] [opciones ... ] donde formato puede ser -X para iniciar la interfaz grfica de usuario (si est disponible) -Htmlto activar el modo HTML Modo de xmlto activar XML -Shortto rutas de hardware de impresin -Businfoto informacin del bus de impresin y las opciones pueden ser A habilitar TEST -Disable TEST -Clase -CLASE C para permitir una prueba para desactivar una prueba para limitar la salida de una clase dada alias para la clase CLASE

NOTA: para utilizar algunas caractersticas (como DMI en plataformas x86), es necesario ejecutar lshw como root o slo reportar informacin parcial.

302

Traducido por Sykrayo Espaa

mac-ladrn: ladrn de tumbas de TCT escrito en C. Desarrollado por Brian Carrier. Disponible desde http://www.sleuthkit.org/mac-robber/desc.php A continuacin se toma de http://www.sleuthkit.org / mac-ladrn / desc.php mac-ladrn es una herramienta de investigacin digital que recoge los datos de los archivos asignados en un sistema de archivos montado. Esto es til durante la respuesta a un incidente en el anlisis de un sistema en vivo o en el anlisis de un sistema muerto en un laboratorio. Los datos pueden ser utilizados por la herramienta en mactime El Sleuth Kit para hacer una lnea de tiempo de actividad de los archivos. La herramienta de mac-ladrn se basa en la herramienta de ladrn de tumbas de TCT y est escrito en C en lugar de Perl. mac-ladrn requiere que el sistema de archivos sea montado por el sistema operativo, a diferencia de las herramientas en el kit Sleuth que procesan el sistema de archivos propios. Por lo tanto, mac-ladrn no recopilar datos de archivos o archivos borrados que se han ocultado mediante rootkits. mac-ladrn tambin modificar el Tiempos en los directorios que se montan con los permisos de acceso de escritura. "Qu es la mac-ladrn bueno para despus", te preguntars? mac-ladrn es til cuando se trata de un sistema de archivos que no sea compatible con el kit Sleuth u otras herramientas de anlisis del sistema de archivos. mac-C ladrn es muy bsico y debera compilar en cualquier sistema UNIX. Por lo tanto, puede ejecutar mac-ladrn en un sistema de archivos UNIX sospechoso desconocido que se ha montado de slo lectura en un sistema de confianza. Tambin he utilizado mac-ladrn durante las investigaciones de los sistemas UNIX comunes como AIX. USO mac-ladrn toma una lista de directorios para analizar como argumentos. Por ejemplo, para analizar los directorios 'mnt' y 'mnt2' y enviar la salida a un archivo: # Mac-ladrn mnt mnt2> data / body.mac Si desea analizar el sistema desde el directorio raz y enviar los datos a un servidor que ejecuta netcat, utilice: # Mac-ladrn / | nc 10.0.0.1 8000 El servidor se ejecuta algo como: # Nc-l-p 8000> body.mac Para analizar los datos, se necesita la herramienta mactime del kit Sleuth. Utilice la bandera-b para importar el archivo del cuerpo: # Mactime-b body.mac 01/01/2001> timeline.01-01-2001 COMENTARIOS

303

Traducido por Sykrayo Espaa

- Este archivo se utiliza la funcin readdir y por lo tanto se actualiza el tiempo de acceso a directorios. Por lo tanto, si usted va a hacer animage de los discos, hacer eso primero. Adems, los mdulos del ncleo maliciosos podran producir datos incorrectos cuando se ejecuta en un host comprometido. - Asegrese de que usted no escribe la salida de este programa a una unidad en el sistema comprometido, puede sobrescribir los datos asignados.

304

Traducido por Sykrayo Espaa

mac_grab.pl: e-fensa utilidad momento MAC. Desarrollado por Drew Fahey. Avda.ailable de www.e-fense.com Lo siguiente es tomado del comando mac_grab.pl. Uso: mac_grab.pl [-DRV] {directorio} -DEncienda opcin de depuracin -Rturn off Recusion -Vverbose Salida de ejemplo:
# Mac_grab.pl bin -------------------------------------------------- --------------------------| MAC_GRAB POR E-FENSE, INC | ----------------------------- MAC TIMES salida ------------------ -----------DATETIMESIZE MAC PERMSOWNERGROUPFILE ================================================== =========================== Dic 10 2003 22:35:46 61994 mac -Rwxr-xr-x raz knoppix bin / root-tail May 109 mac -Rwxr-xr-x raz knoppix bin / iem 16 2004 1:02:33 o firewire_start.sh May 84 mac -Rwxr-xr-x raz knoppix bin / bre 16 2004 1:02:57 o firewire_stop.sh May 17 2004 22:56:35 79618 mac -Rwxr-xr-x raz knoppix bin / bclump o

305

Traducido por Sykrayo Espaa

md5deep: md5sum recursiva con bsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Area de los Estados de especial Investigaciones. Est disponible a partir de http://md5deep.sourceforge.net / md5deep es una herramienta multiplataforma que puede calcular las firmas MD5 de los ficheros. md5deep es similar a la suma md5, pero tambin puede procesar directorios recursivos, producen un plazo de ejecucin estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para slo procesar ciertos tipos de archivos. Tambin existen herramientas compaero que calcularn SHA-1, SHA-256 Tiger, o mensaje hidromasaje resmenes de los archivos tambin. El siguiente fue tomado de http://md5deep.sourceforge.net/manpage.html SINOPSIS
md5deep -V |-V |-h md5deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIN
Calcula el hash o resumen del mensaje, para cualquier nmero de archivos, mientras que opcionalmente recursiva cavar a travs de la estructura de directorios. Tambin se puede tomar una lista de hashes conocidos y mostrar los nombres de archivo de los archivos de entrada cuyos valores hash bien hacer o no coinciden con ninguno de los hashes conocidos. Errores son reportados en el error estndar. Si no se especifica ningn archivo, se lee de la entrada estndar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Tenga en cuenta que el modo recursivo no puede ser utilizado para examinar todos los archivos de extensin de archivo agiven. Por ejemplo, llamar md5deep-r *. Txt examinar todos los archivos en los directorios que terminan en. Txt. Muestra un indicador de progreso y la estimacin del tiempo restante para eachfile est procesando. Las estimaciones de tiempo para archivos de ms de 4GB no estn disponibles en Windows.

-E

-M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y slo los archivos que coinciden con la lista de hashes conocidos son de salida. Esta opcin puede ser utilizada ms de una vez para aadir varios conjuntos de hashes conocidos. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estndares en tecnologa. Si la entrada estndar se utiliza con la opcin-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida.

306

Traducido por Sykrayo Espaa

Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, slo se muestran los archivos no en la lista de hashes conocidos.

307

Traducido por Sykrayo Espaa

Esta bandera no se puede usar en conjuncin con el m-,-H, o-a.

-M y X <archivo> SameAs-my-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Aade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no est ya activada, permite el modo de juego. Adicin de hashes individuales no pueden, por s mismo, se utiliza para imprimir los hashes de los archivos coincidentes como el flag-m hace. Cuando se utiliza junto bandera conla-w, el nombre del archivo que se muestra hash de subes slo la cometidos en la lnea de comandos. Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjuncin con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que haca juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra slo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamao de archivo. Antepone el hash con un dgito representacin diez el tamao de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamao. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carcter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraos caracteres como mximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la lnea de comandos. Esta bandera no se puede utilizar en conjuncin con la bandera-b. Activa el modo de pelado. Tiras de cualquier informacin que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjuncin con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachs, al igual que en su md5sum (-b) modo binario.

-B

308

Traducido por Sykrayo Espaa

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qu (y slo que) los tipos de archivos que se procesan. Transformacin todava se controla con el indicador-r. Las opciones del modo experto

309

Traducido por Sykrayo Espaa

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simblicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el nmero de versin y sale. Mostrar informacin de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el xito de la operacin y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no est en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupcin suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la seccin "Bugs Informacin" a continuacin.

310

Traducido por Sykrayo Espaa

ser ms astuto que: suite de deteccin de esteganografa. Desarrollado por Niels Provos. Disponible desde http://www.outguess.org/ A continuacin se toma de http :/ / www.outguess.org / Qu es anticiparse? Anticiparse es una herramienta steganographic universal que permite la insercin de informacin oculta en los bits redundantes de fuentes de datos. La naturaleza de la fuente de datos es irrelevante para el ncleo de anticiparse. El programa se basa en los controladores especficos de datos que extraer bits redundantes y escribir de nuevo despus de la modificacin. En esta versin se soportan los formatos de imagen JPEG y PNM. En los siguientes prrafos, las imgenes se pueden utilizar como ejemplo concreto de objetos de datos, aunque puede anticiparse utilizar cualquier tipo de datos, el tiempo que se proporciona un controlador. Qu es la esteganografa La esteganografa es el arte y la ciencia de ocultar que la comunicacin est sucediendo. Sistemas de esteganografa clsicos dependen de mantener el secreto sistema de codificacin, sino esteganografa moderna es detectable slo si se conoce la informacin secreta, por ejemplo, una clave secreta. Debido a su naturaleza invasiva, los sistemas de esteganografa dejan rastros detectables dentro de un medio de caractersticas. Esto permite que un espa para detectar medios de comunicacin que han sido modificados, que revela que la comunicacin secreta se est produciendo. Aunque el secreto de la informacin no se degrada, su naturaleza oculta se revela, derrotando el propsito principal de la esteganografa. Qu anticiparse hacer de manera diferente Para las imgenes JPEG, anticiparse conserva estadsticas basadas en conteos de frecuencia. Como resultado, las pruebas estadsticas sobre la base de recuento de la frecuencia son incapaces de detectar la presencia de contenido steganographic. Antes de la incorporacin de datos en una imagen, anticiparse puede determinar el tamao mximo de mensaje que se puede ocultar al mismo tiempo ser capaz de mantener las estadsticas basadas en conteos de frecuencia. Este enfoque se ha descrito en Niels Provos (2001) Defensa contra Steganalysis Estadstica, 10 Simposio USENIX de Seguridad. Washington, DC, agosto de 2001. Disponible desde http://www.citi.umich.edu/u / Provos / papers / defending.ps Anticiparse utiliza un objeto iterador genrico para seleccionar los bits de los datos deben ser modificados. Una semilla se puede utilizar para modificar el comportamiento del iterador. Est incrustado en los datos junto con el resto del mensaje. Mediante la alteracin de la semilla, anticiparse trata de encontrar una secuencia de bits que reduce al mnimo el nmero de cambios en los datos que tienen que ser hechas. 311

Traducido por Sykrayo Espaa

Incorporacin de datos A continuacin puede ver un ejemplo de ejecucin de anticiparse. La tabla da una explicacin de las diferentes columnas de la salida.

312

Traducido por Sykrayo Espaa

$ Ser ms astuto que-k "mi clave secreta"-d hidden.txt demo.jpg out.jpg Lectura demo.jpg .... Calidad de compresin JPEG establece en 75 Extraer trozos utilizables: 40059 Bits Corregibles tamao del mensaje: 21 52.91% bytes 194 bits, codificados 'snark.bz2': 14.712 bits, 1839 Encontrar el mejor incorporacin ... 0: 7467 (50,6%) [50.8%], el sesgo 8137 (1.09), salvo: -13, En total: 18,64% 1: 7311 (49,6%) [49.7%], el sesgo 8079 (1.11), salvo: 5, en total: 18,25% 4: 7250 (49,2%) [49.3%], el sesgo 7906 (1.09), salvo: 13, Total: 18,10% 59: 7225 (49,0%) [49.1%], el sesgo 7889 (1.09), salvo: 16, Total: 18,04% 59, 7225: Incorporacin de datos: 14712 en 40059 Los bits incrustados: 14744, modificado: 7.225 (49,0%) [49.1%], el sesgo: 7889, tot: 40032, salto: 25288 Estadsticas Foiling: Correcciones: 2590, fracasaron: 1, offset: 122.585494 + 239.664983 Total de bits de cambiar: 15114 (cambio 7225 + sesgo 7889) Almacenamiento en datos de mapa de bits ... Escribir lmina / out.jpg ....

Recuperacin de datos Puede recuperar datos de una imagen de la siguiente manera: $ Ser ms astuto que-k "mi clave secreta"-r out.jpg hidden.txt Lectura out.jpg .... Extraer trozos utilizables: 40059 Bits Steg Recuperar: semillas: 7225, len: 1839

Uso La siguiente es la pgina de manual para ser ms astuto que Anticiparse 0.2 universal Stego (c) 1999-2001 Niels Provos ser ms astuto que [opciones] [<input archivo> [<resultado archivo>]] - [SS] <n> inicio iteracin, letra mayscula para segundo conjunto de datos - [II] <n> lmite de iteraciones - Tecla [kK] <key> 313

Traducido por Sykrayo Espaa

- [DD] <nombre> nombre del conjunto de datos - [EE] Error de codificacin de correccin de uso -P parmetro <param> pasa al manejador de datos de destino Mensaje-rretrieve partir de los datos -X <n> nmero de derivaciones clave a ser juzgado -MMark pxeles que han sido modificados -TCollect informacin estadstica -F [+ -] se steganalysis estadstica frustrar on / off. El valor predeterminado es encendido.

314

Traducido por Sykrayo Espaa

NOMB RE

ser ms astuto que - Herramienta steganographic universales

SINOPSIS ser ms astuto que [-emt] [-r] [-k] [-F [+ -]] [-d archivo de datos] [semillas-s] [-i lmite] [-x maxkeys] [-p param] [archivo de entrada [ output-file]]

DESCRIPCIN Outguessisa steganographic herramienta universal que permite la insercin de informacin oculta en el bitsofdatasources redundante. La fuente de datos natureofthe es irrelevante para el ncleo de outguess.The programa se basa en los controladores willextractredundant especficos de datos que bits y escribir de nuevo despus de la modificacin. Actualmente slo el PPM, PNM, y los formatos de imagen JPEG son compatibles, aunque podra ser ms astuto que el uso de cualquier tipo de datos, siempre y cuando se proporcione una gua. Anticiparse utiliza un objeto iterador genrico para seleccionar los bits de los datos deben ser modificados. Una semilla se puede utilizar para modificar el comportamiento del iterador. Est incrustado en los datos junto con el resto del mensaje. Al alterar la semilla, ser ms astuto que trata de encontrar una secuencia de bitsthatminimizes la nmero de cambios en los datos que tienen que estar hecho. Un sesgo se introduce que favorece la modificacin de bits que fueron extrados de un valor alto, y trata de evitar la modificacin de los bits que fueron extrados de un valor bajo. Adems, permite anticiparse a la ocultacin de twodistinctmessages inthedata, proporcionando as deniablity.It plausibles realiza un seguimiento de la bitsthathavebeenmodifiedpreviouslyandlocksthem.A (23,12,7) Golaycodeis utilizado para la correccin de errores de tolerar colisiones en los errores bits.Artifical bloqueados se introducen para evitar modificar-cin bits que tienen un alto sesgo. OPCIONES Thefollowing opciones de lnea de comandos, cuando se especifica como maysculas, indicar las opciones para el segundo mensaje. -F [+ -] Especifica que anticiparse debe preservar en frequencycounts.As basados estadsticas consecuencia, no se basa existe ninguna prueba estadstica de que el recuento de la frecuencia podr detectsteganographiccontent.This opcin est activada por defecto. -KK clave Clave Specifythesecret utiliza los datos facilitados.

para cifrar y ocultar el mensaje en

-DD datafile Especifique el nombre del archivo que contiene un mensaje a behiddeninthe datos. Semillas-sS Semilla inicial Specifythe el objeto iterador utiliza para

seleccionar

315

Traducido por Sykrayo Espaa

bits en los datos redundantes. Si no hay se especifica, el ningn lmite superior iterador usar esta semilla sin necesidad de buscar una inclusin ms ptima. Lmite-II

316

Traducido por Sykrayo Espaa

Especifique el lmite superior para encontrar anoptimaliteratorseed. El valor mximo para el lmite es de 65.535. -EE Usar correccin de errores para la codificacin y decodificacin de datos.

Otras opciones que se aplican a la ejecucin general de ser ms astuto que: -RRetrieveamessagefrom un object.If datos no se especifica esta opcin, ser ms astuto que incorporar mensajes. -X maxkeys Si la segunda llave no crea un objeto iterador que tiene xito en la incorporacin de los datos, el programa obtendr hasta el nmero especificado de nuevas llaves. -P param Pasa una cadena como parmetro para DataHandler. thedestination FortheJPEG formato de imagen, se trata de la calidad de compresin, puede tomar valores entre 75 y 100.El mayor qualitythe ms bits para ocultar un mensaje en los datos disponibles. Pxeles que han sido modificados-MMark. -TCollectstatisticsaboutredundantbitusage.Repeated uso aumenta el nivel de salida. Para el encapsulado de mensajes, es necesario especificar un origen y un nombre de archivo de destino. Anticiparse determina el formato de los datos por el nombre del archivo de extensin. Si no se especifican nombres de archivo ser ms astuto que funciona como un filtro y asume el formato de datos PPM. EJEMPLOS Para incrustar monkey.jpg:

el

hidden.txt

mensaje

en

la

imagen

ser ms astuto que-k "mysecret out.jpg Y en la otra direccin:

frase de paso "-d hidden.txt monkey.jpg

ser ms astuto que-k "mi frase secreta"-r out.jpg message.txt recuperar el mensaje oculto de la imagen. Si desea incorporar un segundo mensaje, utilice: ser ms astuto que-k "secret1"-d hide1.txt-E-K "secret2"Dhide2.txt monkey.jpg out.jpg Anticiparse en primer lugar integrar hide1.txt y luego hide2.txt en la parte superior de la misma, el uso de cdigos de correccin de errores. El segundo hide2.txt mensaje puede ser recuperada con ser ms astuto que-k "secret2"-e-r out.jpg message.txt

317

Traducido por Sykrayo Espaa

pasco: herramienta forense para el anlisis de Internet Explorer. Desarrollado por Keith J. Jones. Disponible desde http :/ / www.foundstone.com / resources / proddesc / pasco.htm Lo siguiente es de http://www.foundstone.com/resources/proddesc/pasco.htm Una herramienta de Internet Explorer actividad de anlisis forense. Autor: Keith J. Jones, Informtica Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http://www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informtica forense es que todos los mtodos de anlisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de mtodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de cdigo abierto. Muchas investigaciones de delitos informticos requieren la reconstruccin de la actividad en Internet de un sujeto. Dado que esta tcnica de anlisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos de la actividad de Internet Explorer (archivos index.dat). Pasco, la palabra latina que significa "Examinar", fue desarrollado para examinar el contenido de los archivos de cach de Internet Explorer. El fundamento de la metodologa de anlisis de Pasco se presenta en el Libro Blanco se encuentra aqu. Pasco analizar la informacin en un archivo de salida y los resultados en un campo delimitado forma index.dat para que pueda ser importado en su hoja de clculo favorita. Pasco est diseado para funcionar en mltiples plataformas y se ejecutar en Windows (a travs de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: pasco [opciones] <filename> Opciones: -D Undelete Actividad Registros -T Delimitador de campo (TAB por defecto) Ejemplo de uso: # Pasco index.dat> index.txt Index.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenacin y filtrar sus resultados.

318

Traducido por Sykrayo Espaa

rifiuti: Analizador "Papelera de reciclaje". Desarrollado por Keith J. Jones. Disponible desde http://www.foundstone.com/resuentes / proddesc / rifiuti.htm A continuacin se toma de http://www.foundstone.com/resuentes / proddesc / rifiuti.htm Una herramienta de anlisis forense Papelera de reciclaje. Autor: Keith J. Jones, Informtica Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http :/ / www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informtica forense es que todos los mtodos de anlisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de mtodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de cdigo abierto. Muchas investigaciones de delitos informticos requieren la reconstruccin de la papelera de reciclaje de un sujeto. Dado que esta tcnica de anlisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos del repositorio de la papelera de reciclaje (INFO2 archivos). Rifiuti, la palabra italiana que significa "basura", fue desarrollado para examinar el contenido del archivo INFO2 en la Papelera de reciclaje. El fundamento de la metodologa de anlisis de Rifiuti se presenta en el Libro Blanco se encuentra aqu. Rifiuti analizar la informacin en un archivo de salida y los resultados en un campo delimitado forma INFO2 para que pueda ser importado en su hoja de clculo favorita. Rifiuti est diseado para funcionar en mltiples plataformas y se ejecutar en Windows (a travs de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: Rifiuti [opciones] <filename> Opciones: -T Delimitador de campo (TAB por defecto) Ejemplo de uso: # Rifiuti INFO2> INFO2.txt INFO2.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenacin y filtrar sus resultados.

319

Traducido por Sykrayo Espaa

rkhunter: Rootkit Hunter. Desarrollado por Michael Boelen. Disponible desde http://www.rootkit.nl/ A continuacin se toma de http://www.rootkit.nl/projects / rootkit_hunter.html Rootkit Hunter es una herramienta fcil de usar herramienta que comprueba mquinas que ejecutan UNIX (clones) para detectar la presencia de rootkits y otras herramientas no deseadas. Los rootkits son selfhiding herramientas utilizadas por blackhats / galletas / scriptkiddies para evitar el ojo del administrador de sistemas. El cazador rootkit es capaz de detectar las siguientes amenazas:
55808 Troya - Variante A ADM W0rm AjaKit APA Kit Apache Gusano Ambiente (arca) Rootkit Rootkit Balaur BeastKit BEX2 BOBKit Kit abuso Cinik Gusano (Slapper.B variante) de DannyBoy RootKit Devil Dica Dreams Rootkit Rootkit Duarawkz Flea Linux FreeBSD Rootkit Rootkit Mierda `que Rootkit GasKit La herona LKM IgnoKit Rootkit HJC ImperalsS-fBRK Irix Rootkit Kitko Knark Li0n Gusano Lockit / LJK2 mod_rootme (Apache backdoor) MRK NI0 Rootkit NSDAP (RootKit para SunOS) Kit ptico (Tux) Oz Rootkit Portacelo R3dstorm Toolkit Rootkit de RH-Sharpe Rootkit Desollador Gusano apagado SHV4 Rootkit del RSHA Sin SHV5 Rootkit Rootkit Slapper Rootkit Sneakin SucKIT SunOS Rootkit Superkit TBD (BackDoor Telnet) TeLeKiT T0rn Rootkit Trojanit Kit URK (RootKit universal) VcKit Volc Rootkit X-Org SunOS zaRwT.KiT Rootkit Rootkit anti antisniffer LuCe LKM THC Backdoor

La siguiente es tomado de la orden: rkhunter - help


Rootkit Hunter 1.2.7, Derechos de autor 2003-2005, Michael Boelen Rootkit Hunter viene con ABSOLUTAMENTE NINGUNA GARANTA. Esto es software libre, y usted puede redistribuirlo bajo los trminos de la Licencia Pblica General GNU. Ver su licencia para ms detalles.

Parmetros vlidos: - Checkall (-c): Sistema de Entrada - Createlogfile *: Crear archivo de registro - Cronjob: Ejecutar como tarea programada (elimina el diseo de color) - Display-logfile: Mostrar archivo de registro al final de la salida - Help (-h): Muestra esta ayuda - Nocolors *: No utilizar colores para la salida - En modo de informe *: No mostrar informacin interesante para los informes - Solo-informe-warnings *: Mostrar slo advertencias (de salida menor que - de modo

320

Traducido por Sykrayo Espaa

informe, ms - quiet) - Skip-application-verificacin *: No ejecute comprobaciones de versin de la aplicacin - Skip-pulsacin *: No te esperar despus de cada prueba (no interactivo) - Quick *: Realizar anlisis rpido (en lugar de anlisis completo)

321

Traducido por Sykrayo Espaa

- Quiet : Calla (slo muestran advertencias) * - Actualizacin: Ejecute la herramienta de actualizacin y comprobar si hay actualizaciones de bases de datos - Versin: Muestra la versin y salir - Versioncheck: Comprobar la ltima versin Bindir <bindir> *: Use <bindir> lugar de usar por defecto binarios Configfile <archivo> *: Utilizar el archivo de configuracin diferente Dbdir <dir> *: Use <dbdir> directorio de bases de datos Rootdir <rootdir> *: Use <rootdir> en lugar de / (barra inclinada al final) Tmpdir <tempdir> *: Use <tempdir> como directorio temporal

Opciones de anlisis explcitos: - Allow-ssh-root-usuario *: Permitir el uso del usuario root SSH - Disable-md5-check *: Deshabilitar comprobaciones MD5

login

- Disable-passwd-check *: Desactivar los controles passwd / grupo - Scan-knownbad-files *: Realice adems de "buena conocida" chequeo Se permiten varios parmetros *) Parmetro slo se puede utilizar con otro

verificacin de un "malo conocido"

parmetros

A continuacin se toma de http://www.rootkit.nl/articles / rootkit_hunter_faq.html Rootkit Hunter me dice que hay algo mal con mi sistema, qu hacer? (1) Si su sistema est infectado con un rootkit, es casi imposible limpiarlo (digamos con una garanta completa de que est limpio). Nunca te fes de una mquina que ha sido infectado con un rootkit, ya que oculta es su propsito principal. Una instalacin limpia del sistema se recomienda despus de la copia de seguridad del sistema completo. As que seguir los siguientes pasos: 1. Obtener el anfitrin offline 2. Copia de seguridad de sus datos (tanto como sea posible, incluyendo binarios y ficheros de registro) 3. Verificar la integridad de estos datos 4. Instale su anfitrin con una nueva instalacin 5. Investigar los viejos archivos de registro y las herramientas utilizadas posibles. Tambin investigar los servicios que eran vulnerables en el momento de corte. (2) Si slo una comprobacin falla, es posible que usted tiene lo que se llama falso positivo. A veces esto suceder debido configuraciones personalizadas o binarios modificados. Si es as, por favor valide: Archi vos: - "Cadenas <archivo>" y compruebe que las rutas de archivos no confiables (cosas como / dev / .hiddendir) - Actualizado recientemente binarios y su fuente original. Si es por una actualizacin, por 322

Traducido por Sykrayo Espaa

fav or me env a

un URI al archivo modificado (como un RPM), por lo que puedo aadir nuevos hashes de las bases de datos. - "Presentar <archivo>" y compararlos con otros (especialmente los binarios de confianza). Si algunos binarios estn vinculadas esttica y otros son dinmicos, lo que podra haber sido troyaneados.

Otras advertencias: Si usted tiene una advertencia sobre otra parte de los cheques, por favor rellene el formulario de contacto y me dicen algo acerca de la configuracin del sistema.

323

Traducido por Sykrayo Espaa

bistur: Fast File Carver Desarrollado por Golden G. Richard III. Disponible desde http://www.microforensics.com / A continuacin se toma de http://www.microForensics.com / Scalpel es una herramienta forense para detectar, aislar y recuperar artefactos de datos de los medios informticos en investigaciones forenses. Bsquedas bistur discos duros, imgenes bitstream, archivos de espacio no asignado, o cualquier archivo informtico para las caractersticas seleccionadas, contenidos o atributos, y produce informes sobre las ubicaciones y los contenidos de los artefactos que encuentra durante el proceso de descubrimiento electrnico. Bistur tambin 'talla' (produce copias de) los artefactos encontrados en archivos individuales. El siguiente es del comando: bistur h
Versin 1.53 bistur Escrito por Golden G. Richard III, sobre la base de todo, 0,69 Carves archivos de una imagen de disco basado en los encabezados y pies de pgina de los archivos. Uso: bistur [-b] [-h | V] [-v] [-s num] [-i <archivo>] [-o <outputdir>] [-n] [-c <config archivo>] <imgfile > [<imgfile>] ... -B Carve archivos incluso si los pies de pgina definidos no se descubren dentro de la mxima talla de tamao para el tipo de archivo [sobre todo el modo compat 0.69] -C Elija el archivo de configuracin -H Mostrar este mensaje de ayuda y termina -I leer los nombres de los archivos para cavar de un archivo -O directorio de salida para archivos tallados -N No aada extensiones a los archivos extrados -R Buscar slo la primera de la superposicin de encabezados / pies de pgina [Modo principal 0.69 compat] -S Skip n bytes en cada imagen de disco antes de tallar -V Imprimir la informacin del copyright y de salida -V Modo detallado

324

Traducido por Sykrayo Espaa

sdd: Specialized dd w / un mejor rendimiento. Desarrollado por Jrg Schilling. Disponible desde http://directory.fsf.org / sysadmin / Copia de seguridad / sdd.html A continuacin se toma de http://directory.fsf.org/sysadmin / Copia de seguridad / sdd.html sdd es un sustituto de un programa llamado dd. SDD es mucho ms rpido que en los casos en que dd tamao de bloque de entrada (IBS) no es igual al tamao del bloque de salida (OBS). Las estadsticas son ms fciles de entender que los de dd. Opcin de sincronizacin disponible, en tiempo imprimir velocidad de transferencia Timing & Estadsticas disponibles en cualquier momento con SIGQUIT (^ \) se puede buscar en la entrada y salida rpida nula entrada de salida nula rpido. Soporte para el protocolo RMT (servidor remoto Tape) hace E / S remotas rpido y fcil. La siguiente es la pgina de manual de sdd.
NOMB RE sdd - volcado de disco y restauracin realizadas en cinta o archivo, copiar y / o reblock

SINOPSIS sdd [opcin bandera]

valor]

[-

DESCRIPCIN Sdd copia el archivo de entrada especificado en un archivo de salida especificado est haciendo las conversiones solicitadas. La entrada y la salida estndar se utilizan de forma predeterminada. La entrada y la salida tamao de bloque pueden ser especificados para tomar ventaja de las materias primas que fsica / O. Despus de la terminacin, SDD informa del nmero de registros enteros, la suma de los bytes de entrada parcial y bytes de bloques y el importe total en kilo salida en inout y de salida. Ifibsandobsdiffer, sddis ms rpido que dd debido a la utilizacin de un algoritmo inteligente. OPCIONES -HelpPrint un resumen de la disposicin opciones.

if = nombre De entrada se toma del nombre de archivo, por defecto es la entrada estndar. Si sdd se instala suid root, el nombre puede estar en la sintaxis remota: user @ host: nombre de archivo como en rcp (1), aun cuando invoca los usuarios que no sean root. Ver NOTAS SUID para ms informacin. Para hacer un archivo local a pesar de que incluye dos puntos (:), el nombre del archivo debe empezar por: '/' o '.. /' '/'. = nombre de La salida se toma del nombre de archivo, por defecto es stdout.

325

Traducido por Sykrayo Espaa

Tenga en cuenta que sdd crea y trunca el fichero de salida de forma predeterminada, por lo que la oseek = # opcin es intil sin la notrunc opcin, excepto en casos especiales, tales como el uso de cinta magntica o archivos especiales de disco. Si sdd se instala suid root, el nombre puede estar en la sintaxis remota: user @ host: nombre de archivo como en rcp (1), aun cuando invoca los usuarios que no sean root. Tenga en cuenta que si las conversaciones sdd a un servidor de cinta remota rmt edad, lo hace

326

Traducido por Sykrayo Espaa

No abra un archivo remoto con el O_CREAT abierto flagbecausethis wouldbeextremelydangerous.If el servidor RMT en el otro lado es el servidor rmt que comeswithstarortheGNUrmt servidor, sdd puede utilizar el modo simblico para el abierto flags.Only los modos abiertos simblicos permiten enviar todos los posibles modos en los modos una manera porttil a los servidores remotos de cinta. Se recomienda utilizar el servidor rmt que viene con la estrella. Es el nico servidor rmt que da independiente de la plataforma de compatibilidad con BSD, Sun y los clientes GNU rmt e incluye funciones de seguridad que puedan crearse en / etc / default / rmt.

-Inull No leer la entrada de file.This issimilartoif = / dev / zero butmuch faster.Sdd utiliza un tampn de aclarado preparado para escribe. satisfacer -Onull No produce ningn resultado. Esto es toof similares = / dev / nullbut realidad no escribe en ningn archivo. ibs = #, obs = #, bs = # Setinputblocksize, el tamao de bloque de salida, o ambos a # (por defecto 512 Bytes). cbs = # Establecer el tamao del bfer de conversin a #. ivsize = #, # = ovsize Ajuste el tamao de volumen de entrada o salida al tamao del volumen #. Usted puede hacer copias de los dispositivos de diferentes tamaos utilizando esta opcin. Si usted desea hacer una copia de una cinta que tiene un tamao de 60 MBytes que debe utilizar la opcin ovsize = 60M. Si se excede la capacidad de la cinta, sdd wil pedir un segundo volumen. En caso de que se supere ivsize, si N <cr> se escribe, se trata como una condicin EOF y sdd escribe todos los datos almacenados en el bfer de salida y sale. En caso ovsize se excede, si N <cr> se escribe, se detiene sdd y la estadsticatics que imprime muestran que se leen ms datos que escribe. count = # Traslado # de registros de entrada o hasta que EOF. iSeek = #, iskip = # Buscar / saltar las primeras Nmero de bytes de entrada beforebeginningtrans-fer. oseek = #, # = oskip Buscar / skipthe primero Nmero de bytes de salida antes de empezar transferencia. buscar skip = # = #, Buscar / saltar las primeras Nmero de bytes de entrada y transferencia beforebegin-cin de salida. ivseek = #, # = ovseek Busque Nmero de bytes de entrada / salida en el comienzo de cada volumen de entrada / salida antes de la transferencia comienzo. (Puede omitir las etiquetas de los discos y disquetes

327

Traducido por Sykrayo Espaa

con esta opcin.) Tenga en cuenta que las opciones iSeek / oseek todava funcionan, pero slo se aplican al primer volumen. Sus valores se aaden a los valores de ivseek y ovseek. -Notrunc No truncar un archivo de salida ya existente antes de comenzar

328

Traducido por Sykrayo Espaa

transfer.This le permite copiar un archivo en otro. -PgPrinta punto para stderr cada vez que se escribe un registro para indicar el progreso. A tiempo,-t Reporte el tiempo total y la tasa de transferencia. -Noerror No deje de transferencia sobre errores de E / S. Messageswillappear de error en la pantalla. -Noerrwrite No escriba los bloques que no se leen corretly. Busque en el outpuesto a saltar el archivo de salida mala block.The debe haber seekableor -Noerrwrite no funcionar correctamente. -Noseek No buscar errores de E / S. Esto implica tratar = 1. tratar = # Setretry cuenta con #. Slo se especific si-noerror. (Por defecto 2) -Debug Activar mensajes de depuracin. Usted puede obtener knowledgeaboutrecord tamaos de cintas con registros tamao, con esta opcin. variables -FillPadeveryoutputrecordwith ceros hasta obs.If ibs obs es igual, o slo se ha especificado bs, cada registro ser ceros paddedwith, de lo contrario slo se aplica al ltimo registro. -SwabSwaps bytes (excepto el ltimo byte en bloque y tamaos impares transferencias extraas debido a EOF). -Bloque-desbloquear Convertir registros de longitud fija a los registros de variables y viceversa. -Lcase,-ucase Mapa alfabticos en minsculas / superior. -ASCII, EBCDIC, ibmConvertEBCDICto resp.ASCII ASCII a EBCDIC resp.ASCII a la variante de IBM EBCDIC. -HelpPrints un breve resumen de las opciones sdd y existe. -Version Prints la cadena de nmero de versin sdd y existe. EJEMPLOS sdd if = / dev/rsd0a of = / dev/nrst8 bs = 2x7x17b Copia el disco / dev/rsd0a a la cinta / dev/nrst8 usando arecordsize de 2 * 7 * 17 cuadras. (Esto es 2 cilindros.) sdd if = / dev/rsd0c of = / dev/rsd1c seek = 1b bs = 63k Copiar todo el disco sd0 a SD1 preservar la vieja etiqueta en el disco SD1. ARCHI VOS

329

Traducido por Sykrayo Espaa

Ningu no.

330

Traducido por Sykrayo Espaa

VER TAMBIN dd (1) estrella (1), RMT (1), tr (1), cp (1) copia (1) DIAGNSTICO sdd: Read f registros + p bytes (un total de x bytes = sdd: Wrote d.nnk). f registros + p bytes (un total de x bytes = d.nnk). Thenumber de registros completos, el nmero de bytes en los registros parciales y del total cantidad de datos en KBytes. Con la seal QUIT NOTAS Opuesto a dd, sdd es capaz de manejar-iSeek-oseek-seekaswellas -Iskip-oskip-skip independientemente del tamao del bfer. Usted puede hacer su totalidad copia fsica de un disco sin copiar el etiqueta en una sola pasada de sdd. Cuando los nmeros son sin especificar la se toman como bytes. Usted puede hacer `palabras '(2 bytes), si se siguen bya` w'or 'W'. Youcanmake los bloques (512 bytes), si vienen seguidas de un `b 'o `B '. Usted puede hacer Kbytes (1024 bytes) si vienen seguidas de un `k'or `K '. Youcan hacen Mbytes (1024 * 1024 bytes) si vienen seguidas de un 'M' o 'M'. Usted puede hacer Gbytes (1024 * 1024 * 1024 bytes) si vienen seguidas de un `g 'o' G '. Un par de nmeros se puede separar por `* 'o` x' para indicar un producto. NOTAS SUID Si sdd se instala suid root, sddisabletomakeconnectionsto remotefilesfornonroot users.This se realiza mediante la interfaz rcmd (3) para obtener una conexin a un servidor de RMT (1). Sdd restablece su identificador a la verdadera identificacin del usuario inmediatamente despus de de usuario efectivo de vuelta settingupthe conexin remota al servidor rmt y antes de abrir cualquier otro archivo. FALL OS (Por lo general ^ \) se muestra el estado actual.

La opcin iskip andoskip = # = # = # andskip aswellas-blockand -Desbloquear no se aplican. Itisconfusingtoallow el uso de todos los adiciones, junto con el record contra el recuento, ya que son posibles con obs = #.

331

Traducido por Sykrayo Espaa

sha1deep: sha1sum recursiva con bsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Area de los Estados de especial Investigaciones. Est disponible a partir de http://md5deep.sourceforge.net / sha1deep es una herramienta multiplataforma que puede calcular las SHA1 firmas de los archivos. sha1deep es similar a la suma md5, pero tambin puede procesar directorios recursivos, producen un plazo de ejecucin estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para slo procesar ciertos tipos de archivos. Tambin existen herramientas compaero que calcular MD5, SHA-256 Tiger, o mensaje hidromasaje resmenes de los archivos tambin. El siguiente fue tomado de http://md5deep.sourceforge.net/manpage.html SINOPSIS
sha1deep -V |-V |-h sha1deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIN
Calcula el hash o resumen del mensaje, para cualquier optionallyrecursivelydiggingthrough offileswhile nmero del directorio structure.Can tamb tener una lista de hashes conocidos y displaythefilenamesofinput in Archi whosehashes bien hacer o no coinciden con ninguno de los hashes vos conocidos. Errores son reportados en el error estndar. Si no se especifica ningn archivo, se lee de la entrada estndar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Complacer notar que modo recursivo no puede ser utilizado para examinar todas las filesof agivenfileextension. Por ejemplo, llamar md5deep-r *. Txt examinar todos los archivos en los directorios que terminan en. Txt. -E Muestra un indicador de progreso y la estimacin del tiempo restante para eachfile est procesando. Las estimaciones de tiempo para archivos de ms de 4GB no estn disponibles en Windows.

-M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y slo los archivos que coinciden con la lista de hashes conocidos son de salida. Este flagmay beused ms de una vez para aadir varios conjuntos de conocida hashes. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estndares en tecnologa.

332

Traducido por Sykrayo Espaa

Si la entrada estndar se utiliza con la opcin-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida. Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, slo se muestran los archivos no en la lista de hashes conocidos.

333

Traducido por Sykrayo Espaa

Esta bandera no se puede usar en conjuncin con el m-,-H, o-a.

-M y X <archivo> Lo mismo que-m y-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Aade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no est ya activada, permite el modo de juego. Adicin de hashes individuales no pueden, por s mismo, se utiliza para imprimir los hashes de los archivos coincidentes como el flag-m hace. Cuando se utiliza junto bandera conla-w, el nombre del archivo que se muestra hash de subes slo la cometidos en la lnea de comandos. Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjuncin con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que haca juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra slo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamao de archivo. Antepone el hash con un dgito representacin diez el tamao de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamao. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carcter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraos caracteres como mximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la lnea de comandos. Esta bandera no se puede utilizar en conjuncin con la bandera-b. Activa el modo de pelado. Tiras de cualquier informacin que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjuncin con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachs, al igual que en su md5sum (-b) modo binario.

-B

334

Traducido por Sykrayo Espaa

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qu (y slo que) los tipos de archivos que se procesan. Transformacin todava se controla con el indicador-r. Las opciones del modo experto

335

Traducido por Sykrayo Espaa

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simblicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el nmero de versin y sale. Mostrar informacin de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el xito de la operacin y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no est en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupcin suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la seccin "Bugs Informacin" a continuacin.

336

Traducido por Sykrayo Espaa

sha256eep: sha1sum recursiva con bsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Area de los Estados de especial Investigaciones. Est disponible a partir de http://md5deep.sourceforge.net / sha256deep es una herramienta multiplataforma que puede calcular las SHA1 firmas de los archivos. sha1deep es similar a la suma md5, pero tambin puede procesar directorios recursivos, producen un plazo de ejecucin estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para slo procesar ciertos tipos de archivos. Tambin existen herramientas compaero que calcular MD5, SHA-1, Tigre, o mensaje hidromasaje resmenes de los archivos tambin. El siguiente fue tomado de http://md5deep.sourceforge.net / manpage.html SINOPSIS
sha256deep -V |-V |-h sha256deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIN
Calcula el hash o resumen del mensaje, para cualquier nmero de archivos, mientras que opcionalmente recursiva cavar a travs de la estructura de directorios. Tambin se puede tomar una lista de hashes conocidos y mostrar los nombres de archivo de entrada fileswhosehashes sea hacer o no coinciden con ninguno de los hashes conocidos. Errores son reportados en el error estndar. Si no se especifica ningn archivo, se lee de la entrada estndar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Tenga en cuenta que el modo recursivo no puede ser utilizado para examinar todas las filesof agivenfileextension. Por ejemplo, llamar md5deep-r *. Txt examinar todos los archivos en los directorios que terminan en. txt. Muestra un indicador de progreso y una estimacin del tiempo que queda eachfile est procesando. Tiempo estimaciones para archivos de ms de 4GB no estn disponibles en Windows. -M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y slo los archivos que coinciden con la lista de hashes conocidos son de salida. Esta opcin puede ser utilizada ms de una vez para aadir varios conjuntos de hashes conocidos. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estndares en tecnologa. Si la entrada estndar se utiliza con la opcin-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista

-E para

337

Traducido por Sykrayo Espaa

de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida. Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, slo se muestran los archivos no en la lista de hashes conocidos.

338

Traducido por Sykrayo Espaa

Esta bandera no se puede usar en conjuncin con el m-,-H, o-a.

-M y X <archivo> SameAs comando-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Aade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no est ya activada, permite el modo de juego. Agregando solo hashes no pueden, por s mismo, ser utilizados para imprimir los hashes de archivos coincidentes como el flag-m hace. Cuando usedinconjunction bandera conla-w, el nombre del archivo que se muestra hash de subes slo el mitted en la lnea de comandos. Esta bandera no se puede usar en conjuncin con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjuncin con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que haca juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra slo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamao de archivo. Antepone el hash con un dgito representacin diez el tamao de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamao. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carcter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraos caracteres como mximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la lnea de comandos. Esta bandera no se puede utilizar en conjuncin con la bandera-b. Activa el modo de pelado. Tiras de cualquier informacin que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjuncin con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachs, al igual que en su md5sum (-b) modo binario.

-B

339

Traducido por Sykrayo Espaa

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qu (y slo que) los tipos de archivos que se procesan. Transformacin todava se controla con el indicador-r. Las opciones del modo experto

340

Traducido por Sykrayo Espaa

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simblicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el nmero de versin y sale. Mostrar informacin de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el xito de la operacin y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no est en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o ms de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupcin suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la seccin "Bugs Informacin" a continuacin.

341

Traducido por Sykrayo Espaa

Stegdetect: suite de deteccin de esteganografa. Desarrollado por Niels Provos. Disponible desde http://www.outguess.org/detection. Php A continuacin se toma de http :/ / www.outguess.org / detection.php Stegdetect es una herramienta automatizada para detectar contenido steganographic en imgenes. Es capaz de detectar varios mtodos diferentes esteganogrficos para incrustar informacin oculta en imgenes JPEG. En la actualidad, los sistemas son detectables jsteg, jphide (Unix y Windows), secretos invisibles, 01.3b anticiparse, F5 (Anlisis de la cabecera), appendX y camuflaje. Stegbreak se utiliza para lanzar ataques de diccionario contra JSteg-Shell, JPHide y 0.13b anticiparse. Deteccin automtica de nuevos mtodos esteganogrficos Stegdetect 0.6 compatible con el anlisis discriminante lineal. Dado un conjunto de imgenes normales y un conjunto de imgenes que contengan contenido oculto por una nueva aplicacin steganographic, Stegdetect puede determinar automticamente una funcin de deteccin lineal que se puede aplicar a todava imgenes no clasificados. Anlisis discriminante lineal calcula un hiperplano divisoria que separa las imgenes no-stego de las imgenes stego. El hiperplano se caracteriza como una funcin lineal. La funcin aprendida se pueden guardar para su uso posterior en las nuevas imgenes. Stegdetect soporta varios diferentes vectores de caractersticas y calcula automticamente caracterstica de funcionamiento del receptor que se puede utilizar para evaluar la calidad de 342

Traducido por Sykrayo Espaa

la funcin de deteccin automtica aprendido. Ejemplo # Stegdetect *. Jpg cold_dvd.jpg: ser ms astuto que (antiguo) (***) jphide (*) dscf0001.jpg: negativo dscf0002.jpg: jsteg (***)

343

Traducido por Sykrayo Espaa

dscf0003.jpg: jphide (***) [...] # Stegbreak-tj dscf0002.jpg Cargado 1 archivos ... dscf0002.jpg: jsteg (pas de las maravillas) Procesado 1 archivo encontrado 1 incrustaciones. Tiempo: 36 segundos: Grietas: 324123,8915 c / s Para obtener ms informacin sobre cmo funciona Stegdetect y sobre el uso que se pueden encontrar, vase: Niels Provos y Peter Honeyman (2003) Hide and Seek: Una introduccin a la Stegangography, IEEE Security & Privacy Revista, mayo / junio. Disponible desde http://niels.xtdnet.nl/papers/practical.pdf La siguiente es la pgina de manual de Stegdetect
NOMB Stegdetect - encuentra los archivos de imgenes con contenido steganographic RE SINOPSIS Stegdetect [-qhnV] [-s float] [-C num, tfname] [-c archivo ... nombre] [-D archivo] [-d num] [-t pruebas] [archivo ...] DESCRIPCIN La utilidad Stegdetect anlisis de los archivos de imgenes de contenido steganographic. Se ejecuta pruebas determinar si el contenido es steganographic estadsticas para presentar, y tambin trata de encontrar el sistema que se ha utilizado para insertar la informacin oculta. Las opciones son las siguientes: -QOnly informa imgenes carpa. -Honly que es probable que tengan steganographic con-

calcula la DCT histogram.Use la opcin-d para disreproducir los valores.

-NEnables comprobacin de la informacin de cabecera JPEG de surpress falsa positives.If activado, todas las imgenes JPEG que contienen campos de comentario ser tratado como la comprobacin negatives.OutGuess se desactivar si el marcador JFIF no coincide con la versin 1.1. -VDisplays el nmero de versin del software. -S floatChanges la sensibilidad de los resultados algorithms.Their deteccin se multiplican por el number.the especificada ms alto es el nmero, ms sensible que la prueba become.The predeterminado es 1. C-num, tfname Los vectores de se estn extraced del images.The argucaractersticas

344

Traducido por Sykrayo Espaa

cin nmero puede ser cero o one.A cero indica que las imgenes proporcionadas no contienen contenidos steganographic, a uno indica que do.The tfname argumento es el nombre utilizado para transformar la funcin extraction.The caractersticas VectorEs

345

Traducido por Sykrayo Espaa

se imprime en la salida estndar. -C fileReads los datos creados por la C-opciones y calcula los valores nece-sarios para detectar el contenido en steganographic an desconocido images.The opcin se puede times.It mltiples espera utilizar que el nombre del esquema proporciona argumento adicional. como El resultado es un objeto de decisin ser utilizado con la Dque puede opcin. El objeto contiene una decisin de los parmetros de una funcin discriminante lineal basado en la Neyman-Pearson teo-rem. -D fileReads un objeto de decisin que contiene informacin acerca de la deteccin de un nuevo esquema de steganographic. -D numPrints informacin de depuracin. -T testsSets las pruebas que estn en ejecucin en la imagen. personajes se entienden: jTests si la informacin El siguiente

ha sido integrado con jsteg.

oTests si la informacin se ha integrado con ser ms astuto que. pTests si la informacin se ha integrado con iTests si la informacin se ha escondido de secretos invisibles. fTests si la informacin se ha ocultado con F5. FTests si la informacin se ha ocultado con F5 utilizando un algoritmo de deteccin ms sofisticados, pero bastante lento. aTests si la informacin se ha aadido al final del archivo, por ejemplo, camuflaje o appendX. por El valor predeterminado es jopifa. El Stegdetect utilidad indica la exactitud de la deteccin con un nmero de estrellas detrs del system.If detectado nombres de archivo se han especificado, Stegdetect leer los nombres de archivo de la entrada estndar. EJEMPLOS Stegdetect-t p auto.jpg Trata de detectar la presencia de informacin jphide incrustado en auto.jpg. ERRORES Stegdetect slo funciona para las imgenes JPEG. En la actualidad, no hay soporte para el parmetro training.The solo mando exportado las versiones level.Future sensibilidad exportar toda la deteccin parmetros a travs de un archivo de configuracin. jphide.

346

Traducido por Sykrayo Espaa

limpiar: Secure archivo borrado. Desarrollado por Berke Durak. Disponible desde http://abaababa.ouvaton.org/wipe/ A continuacin se toma de http://abaababa.ouvaton.org/wipe/wipe.1.html SINOPSIS limpie [opciones] ruta1 path2 ... pathn DESCRIPCIN Recuperacin de los datos supuestamente borrados de medios magnticos es ms fcil de lo que muchas personas les gustara creer. Una tcnica llamada microscopa de fuerza magntica (MFM) permite a cualquier oponente moderadamente financiado para recuperar las ltimas dos o tres capas de datos escritos en el disco; limpie repeadetly sobrescribe patrones especiales para los archivos que se destruyan aplicando la fsync () de llamadas y / o el bit O_SYNC para forzar el acceso a disco. En el modo normal, se utilizan 34 patrones (de las cuales 8 son al azar). Estos patrones se recomienda en un artculo de Peter Gutmann (pgut001@cs.auckland. Ac.nz) Titulado "Eliminacin segura de datos de la memoria magntica y de estado slido". A modo de resumen le permite usar slo 4 pases con los patrones al azar, lo cual es por supuesto mucho menos seguro. AVISO IMPORTANTE - LEA ATENTAMENTE El autor, los encargados o los contribuyentes de este paquete no se hace responsable, en ninguna manera si toallita destruye algo que no quiere que se destruya. Vamos a hacer esto muy claro. Quiero que asumir que este es un programa desagradable que acabar con las partes de los archivos que usted no quisiera que limpie. As que pase lo que pase despus de iniciar toallita es toda su responsabilidad. En particular, nadie garantiza que limpian se ajustarn a las especificaciones que figuran en esta pgina manual. Del mismo modo, no podemos garantizar que se limpie realmente borrar datos, o que los datos de borrado no se puede recuperar mediante avanzados. As que si nasties obtener sus secretos porque vendi un disco duro borrado a alguien que no lo sabe, as, peor para ti. La mejor manera para desinfectar un medio de almacenamiento es someter a temperaturas superiores a 1500K. Como una alternativa barata, podra utilizar limpie a su propio riesgo. Tenga en cuenta que es muy difcil evaluar si se ejecuta limpie en un archivo dado en realidad lmpielo que depende de una gran cantidad de factores, tales como: el tipo de sistema de archivos en el archivo reside en (en particular, si el archivo es un sistema de un diario o no), el tipo de medio de almacenamiento usado, y el bit menos significativo de la fase de la luna. Limpiar a travs de NFS o sobre un sistema de archivos de registro (ReiserFS, etc) lo ms probable es que no funcione. Por lo tanto le recomiendo llamar a borrar directamente en el dispositivo de bloque correspondiente con las opciones apropiadas. Sin embargo esto es algo extremadamente peligroso. Asegrese de estar sobrio. Dale las opciones correctas. En particular: no limpie el 347

Traducido por Sykrayo Espaa

disco duro entero (por ejemplo, limpie-kD / Dev / hda es malo) ya que esto va a destruir su registro de inicio maestro. Mala idea. Prefiero particiones limpiar (por ejemplo, limpiar-kD / dev/hda2) es bueno, siempre y cuando, por supuesto, que ha realizado una copia de seguridad de todos los datos necesarios.

348

Traducido por Sykrayo Espaa

OPCIONES DE LNEA DE COMANDOS -F (force; deshabilitar pregunta de seguridad) Por defecto limpie le pedir confirmacin, indicando el nmero de archivos y directorios regulares y especiales especificados en la lnea de comandos. Debe escribir "s" para la confirmacin, "no" para el rechazo. Puede desactivar la solicitud de confirmacin con la opcin-f (forzar). -R (recursiva en subdirectorios) Permitir que la extirpacin de todo el rbol de directorios. No se siguen los enlaces simblicos. -C (chmod si es necesario) Si un archivo o directorio a ser eliminados sin permisos de escritura se ha establecido, va a hacer un chmod para establecer el permiso. -I (de informacin, el modo detallado) Esto permite que la presentacin de informes a la salida estndar. Por defecto todos los datos se escriben en stderr. -S (modo silencioso) Todos los mensajes, excepto la pregunta de confirmacin y los mensajes de error, quedarn suprimidos. -Q (trapo rpido) Si se utiliza esta opcin, limpie slo har (por defecto) 4 pases en cada archivo, escribiendo datos aleatorios. Consulte la opcin-Q -Q <number-of-passes> Establece el nmero de pasadas para limpiar rpido. El valor predeterminado es 4. -A (abortar en caso de error) El programa se cerrar con EXIT_FAILURE si se encuentra un error no fatal. -R (comando de dispositivo de semilla aleatoria o al azar del foro) Con esta opcin, que requiere un argumento se puede especificar un dispositivo alternativo / dev / random o un comando que es la salida estndar se aplica un algoritmo hash MD5 hash utilizando. La distincin se puede hacer uso de la opcin-S. -S (mtodo de inicializacin aleatorio) Esta opcin toma un argumento de un solo carcter, que especifica cmo el argumento de semilla aleatoria al azar dispositivo / se va a utilizar. El dispositivo aleatorio por defecto es / dev / random. Se puede configurar utilizando la opcin-R. Los posibles argumentos de un solo carcter son: r Si desea que el argumento de que se trata como un dispositivo de archivo / personaje regular. Esto funciona con / dev / random, y tambin podra trabajar con FIFO y similares. Si desea que el argumento que se ejecuta como un comando. La salida del comando se aplica un algoritmo hash MD5 utilizando para proporcionar la semilla requerida. Ver el WIPE_SEEDPIPE variable de entorno para obtener ms informacin. Si desea borrar para conseguir su semilla numerando las variables de entorno, la fecha y la hora actuales, su ID de proceso. etc (no se utilizar el argumento de dispositivo aleatorio). Esto es, por supuesto, el entorno menos seguro. 349

Traducido por Sykrayo Espaa

-M (nmero pseudo-aleatorio de seleccin generador de algoritmo) Durante los pases al azar, limpie sobrescribe los archivos de destino con un flujo de datos binarios, creado por la siguiente eleccin de algoritmos:

350

Traducido por Sykrayo Espaa

usar (dependiendo de su sistema) generador pseudo aleatorio () o rand () de su libc. Tenga en cuenta que en la mayora de los sistemas, rand () es un generador de congruencia lineal, lo que es muy dbil. La eleccin se realiza en tiempo de compilacin con el HAVE_RANDOM definir (ver el Makefile). usar el cifrado de flujo Arcfour como PRNG. Arcfour pasa a ser compatible con el bien conocido sistema de cifrado RC4. Esto significa que bajo la misma clave, Arcfour genera exactamente la misma secuencia como RC4 ... utilizar el nuevo algoritmo RC6 como PRNG; RC6 est codificado con la semilla de 128 bits, y luego un bloque nulo es repetidamente cifrado para obtener la secuencia pseudoaleatoria. Supongo que esto debern ser llenados completamente seguro. Por supuesto RC6 con 20 rondas es ms lento que random (), la opcin de tiempo de compilacin WEAK_RC6 le permite utilizar una versin de 4-ronda de RC6, que es ms rpido. Con el fin de poder utilizar RC6, limpie debe ser compilado con ENABLE_RC6 definida; ver el Makefile de advertencias acerca de asuntos relacionados con patentes. En todos los casos el PRNG se siembra con los datos recogidos desde el dispositivo al azar (vase-R y-s).

un

-L <longitud> Ya que puede haber algunos problemas para determinar el tamao real de un dispositivo de bloques (como algunos dispositivos no tienen ni siquiera tamaos fijos, como los disquetes o cintas), puede que tenga que especificar el tamao del dispositivo con la mano, <longitud> es la capacidad del dispositivo expresa como una serie de bytes. Usted puede utilizar K (Kilo) para especificar la multiplicacin por 1.024, M (mega) para especificar la multiplicacin por 1.048.576, G (Giga) para especificar la multiplicacin por 1073741824 y b (bloque) para especificar la multiplicacin por 512. As 1024 = 2b = 1K 20K33 = 20480 +33 = 20513 114M32K = 114 * 1024 * 1024 32 * 1024. -O <offset> Esto le permite especificar un desplazamiento dentro del archivo o dispositivo que se limpi. La sintaxis de <offset> es el mismo que para la opcin-l. -E Use el tamao exacto del archivo: no reunir tamao de archivo de borrar posible basura que queda en el ltimo bloque. -Z No trate de limpiar los tamaos de archivos dividiendo por la mitad varias veces el tamao del archivo. Tenga en cuenta que esto slo se trat de archivos normales por lo que no sirve de nada si se utiliza para la limpieza de limpiar un bloque o un dispositivo especial. -F No trate de limpiar los nombres de archivo. Normalmente, limpie trata de abarcar los nombres de archivos cambiando el nombre de ellos, lo que no garantiza que la ubicacin fsica que contiene el nombre del archivo antiguo se sobrescribe. Adems, despus de 351

Traducido por Sykrayo Espaa

cambiar el nombre de un archivo, la nica manera de asegurarse de que el cambio de nombre se realiza materialmente es llamar a sync (), que vuelca a todas las cachs de disco del sistema, mientras que para ading y la escritura se puede usar el bit O_SYNC para obtener E / S sncrona para una

352

Traducido por Sykrayo Espaa

archivo. Como sincronizacin () es muy lento, de llamar a sync () despus de cada cambio de nombre () hace nombre del archivo limpiando extremadamente lento. -K Mantener los archivos: no desvincular los archivos despus de que hayan sido sobrescritos. Es til si desea borrar un dispositivo, mientras se mantiene el archivo especial de dispositivo. Esto implica-F. Desreferencia enlaces simblicos: por defecto, acabar nunca seguir enlaces simblicos. Si se especifica-D sin embargo, va a acabar con su consentimiento para, as, acabar con los objetivos de los enlaces simblicos que pueden ocurrirle a nombrar en la lnea de comandos. No se puede especificar-D y-r Opciones (recursivo), primera causa de posibles ciclos en el grafo directorio de enlace simblico mejorada, que tendra que realizar un seguimiento de los archivos visitados para garantizar la terminacin, la cual, se le admite fcilmente , es un dolor en C, y, en segundo lugar, por temor a tener un dispositivo de bloques (sorpresa!) enterrado en algn lugar inesperado. Mostrar informacin de versin y sale. Mostrar ayuda.

-D

-V -H

EJEMPLOS limpie-FCR / home / berke / plaintext / Limpie cada archivo y cada directorio (opcin-r) listada en / home / berke / plaintext /, incluyendo / Home / berke / plaintext /. Archivos regulares sern eliminados con 34 pases y sus tamaos sern entonces reducirse a la mitad de un nmero aleatorio de veces. Archivos especiales (dispositivos de caracteres y de bloque, FIFO ...) no lo har. Todas las entradas de directorio (archivos, archivos y directorios especiales) sern renombrados 10 veces y luego no ligados. Las cosas con permisos inadecuados sern chmod () 'ed (opcin-c). Todo esto va a suceder sin la confirmacin del usuario (opcin-f). limpie-kq / dev/hda3 Suponiendo que / dev/hda3 es el dispositivo de bloque correspondiente a la tercera particin de la unidad principal en la interfaz IDE primaria, se limpi en modo rpido (opcin-q), es decir, con cuatro pases al azar. El nodo-i no se puede cambiar el nombre o no vinculado (opcin-k). Antes de comenzar, se le pedir que escriba `` s''. limpie-kqD / dev / floppy Dado que nunca se limpie sigue enlaces simblicos a menos que explcitamente a hacerlo, si desea borrar / Dev / floppy, que pasa a ser un enlace simblico a / dev/fd0u1440 tendr que especificar la opcin-D opcin. Antes de comenzar, se le pedir que escriba `` s''. limpie-rfi> wipe.log / var / log / * A continuacin, limpie recursivamente (opcin-r) destruir todo en / var / log, excepto / var / log. No intentar chmod () cosas. Sin embargo, ser detallado (opcin-i). No se le pedir 353

Traducido por Sykrayo Espaa

que escriba `` S'' a causa de la opcin-f. limpie-KQ-1440K l / dev/fd0 Debido a diversas idiosincrasias del sistema operativo, que no siempre es fcil obtener el nmero de bytes de un determinado dispositivo podra contener (de hecho, esta cantidad puede ser variable). Por eso a veces es necesario decir limpie la cantidad de bytes de destruir. Eso es lo que el l-

354

Traducido por Sykrayo Espaa

opcin es para. Adems, puede utilizar b, K, M y G como multiplicadores, respectivamente, para 2 ^ 9 (512), 2 ^ 10 (1024 o un kilo), 2 ^ 20 (un mega) y 2 ^ 30 (un Giga) bytes . Usted puede incluso combinar ms de un multiplicador! As que 1M416K = 1.474.560 bytes. BUGS / LIMITACIONES Limpiar debera funcionar en discos duros y disquetes, pero la cach interna de algunos discos duros podra prevenir escribe lo necesario para hacer que la superficie magntica. Sera divertido usarlo a travs de NFS. Bajo CFS (Sistema de archivos de cifrado) el fsync () llamada no tiene ningn efecto, limpie no ha mucho uso bajo de todos modos - utilizar limpie directamente en los archivos cifrados correspondientes. Tambin, bajo Linux, cuando se utiliza un dispositivo montado a travs de un dispositivo de bucle, E / S sncrona no consigue reproducidos limpiamente. Para limpiar discos, al menos en Linux, no hay manera, adems de oscuro floppy-driver ioctl especfico es determinar el tamao de bloque del disco. En particular, la BLKGETSIZE ioctl no est implementado en el controlador de disquete. Por lo tanto, para limpiar los discos blandos, debe especificar el tamao del disquete con la opcin-l, como en el ltimo ejemplo. Esta opcin normalmente no se necesita para otros dispositivos de bloques fijos, como los dispositivos IDE y SCSI. Nombre de archivo Barrido se implementan desde la versin 0.12. No s qu tan eficiente es. En primer lugar, cambia el nombre del archivo a un nombre aleatorio generado de la misma longitud, llama a sync (), y luego cambia el nombre a un nombre aleatorio generado de longitud mxima. Barrido tamao del archivo se implementa mediante el truncamiento repetidamente el archivo a la mitad de su tamao, hasta que se vaca; sync () es llamado entre dichas operaciones. Tenga en cuenta que todava no es posible presentar la fecha de creacin y bits de permiso portable. Una utilidad acabar el trabajo a nivel de dispositivo de bloque se puede escribir utilizando la biblioteca ext2fs.

355

Traducido por Sykrayo Espaa

Binarios Estticos
La necesidad de Binarios Estticos Al realizar una respuesta a incidentes, es posible que los comandos de comandos en el equipo de destino se ha visto comprometida, y modificados para ocultar signos de que el sistema ha sido atacado. Los rootkit a menudo reemplazar utilidades del sistema de comando, como ls, dir, y ps, con la versin modificada para evitar que los usuarios detectar procesos y archivos Rougue. Incluso las bibliotecas dinmicas de comandos en el equipo de destino no se puede confiar. Ah es donde binarios estticos llegada a tierra son completos, ejecutables independientes que no dependen de o utilizar cualquiera de los comandos en el sistema de destino. Dado que estos comandos se encuentran en un CD-ROM, no pueden ser comprometidas o sustituyen por los virus, gusanos o rootkits. Estas son herramientas confiables. Una de las formas ms comunes para determinar si un sistema ha sido comprometido es comparar la salida del comando ps desde el sistema de destino con el comando ps binaria esttica en el CD de hlice. Si existe una diferencia, es posible que el sistema de destino se ha visto comprometida. Estos comandos se pueden ejecutar en un sistema en vivo sin necesidad de reiniciar. Una vez que el CD-ROM est montado, cambie a la carpeta \ Static-Binarios y cambie al directorio especfico para el sistema que est siendo investigado. Helix ofrece binarios estticos para Windows, Linux y Solaris.

Ventanas En un sistema de ventanas, estas herramientas se encuentran disponibles, adems de la interfaz grfica de usuario de Helix. La GUI tambin proporciona una serie de herramientas de respuesta a incidentes. Los binarios de Win32 son GNU de http://unxutils.sourceforge.net,cortesa de Karl M. Syring. Estas herramientas estn ubicados en el directorio / ir en los respectivos directorios. bunzip2.exe cat.exe chgrp.exe chmod.exe chown.exe cksum.exe compress.exe cp.exe csplit.exe cut.exe date.exe df.exe diff.exe du.exe echo.exe env.exe expand.exe find.exe fsplit.exe gawk.exe grep.exe gunzip.exe GZIP.EXE head.exe id.exe less.exe libfl.a libfl.lib ln.exe ls.exe mkdir.exe Mv.exe mvdir.exe pathchk.exe pclip.exe printenv.exe pwd.exe rm.exe rmdir.exe sed.exe Sleep.exe sort.exe su.exe sync.exe tail.exe tar.exe touch.exe uname.exe uniq.exe unrar.exe unzip.exe uudecode.exe uuencode.exe wc.exe which.exe whoami.exe zip.exe

356

Traducido por Sykrayo Espaa

Linux En un sistema Linux, en el directorio \ Static-binarios, hay un script de shell llamado linux-ir.sh. Este es un script de shell respuesta simple incidente que recoger la informacin del sistema utilizando los binarios estticos. El resultado se mostrar en la consola, pero puede ser redirigido mediante la opcin estndar >> Linux. linux-ir.sh >> / mnt/sda1/IRoutput.txt Esto le ahorrar la salida a la IRoutput.txt en el / mnt/sda1 dispositivo. El / mnt/sda1 debe montarse en lectura / escritura. Los binarios estticos de Linux son de http://www.e-fense.com,cortesa de Drew Fahey. Directorio: \ Static-Binaries \ Linux_x86 aldenvkillpathchkstrings arco ex arp Fatbac fiesta k fFind cat arc chgrp hiv chmod o chown fls chroot fmt cksum fsstat todo fusor ltima lastlog ldd LDE men os ln enla ce nombre_ registro ls lsof pcat mei que pr printenv procinfo ps pstree pwd rarp read_dataumount readlink readelf uname unexpand desvincular od UNRM ruta search_data siguientes sha1 sha1sum sueo tipo clasifica dor divisin srch_strings 357 stty do sincro nizaci n cola tee top touch tsort tty

borra gdb r cp grep mac-ladrn csplit alto mactime cortar headmd5deepresetuniq fech hexdump md5sumrm a dcalchfindmemdumprmdir mkdir dcat icat host MMLS dcgen hostid mmstat dd Identifi ms df diff cacin mount disk_sreset ifconfig mv disk_stat ifind nc dls ils netstat dmesg img_stat agradabl dstat ISTAT e nohup du eco JCAT jls objdump kern_check

Traducido por Sykrayo Espaa

stat strace

uptime usuario s utmpdu mp vdir v i w w c whe reis que who ami

358

Traducido por Sykrayo Espaa

Solaris Para un sistema Solaris x86 basado en Intel, en el directorio \ Static-binarios, hay un script de shell llamado solaris-ir.sh. Este es un script de shell respuesta simple incidente que recoger la informacin del sistema utilizando los binarios estticos. La salida se mostrar en la consola, pero puede ser redirigido mediante la opcin >> estndar de Unix. solaris-ir.sh >> / mnt/sda1/IRoutput.txt Esto le ahorrar la salida a la IRoutput.txt en el / mnt/sda1 dispositivo. El / mnt/sda1 debe montarse en lectura / escritura. Los binarios de Solaris se obtuvieron de http://www.incident-response.org,cortesa de Rob Lee. Directorio: \ Static-Binaries \ solaris_2.7 gat o chgrp chmod chown chroot cksum cp cort ar fech a dd df dirname du eco archiv o factor de env gunzip gzip cabez a hostid icat nombre de host ils id une n lastcomm En nombre de registro ls lsof md5 md5sum mkdir mknod mv nc od pcat printenvuname pwd rm rmdir rmt espe cie dividi da do suma sincr oniza cin cola tar touch uniq UNRM uptime usuari os wc que whoami zcat

359

Traducido por Sykrayo Espaa

Preguntas ms frecuentes
Qu es Helix? Helix es un CD de arranque basado originalmente en Knoppix, con nfasis en la respuesta a incidentes y anlisis forense informtico. Cules son los requisitos mnimos para ejecutar Helix? Helix necesita mucha memoria RAM y una arquitectura x86 (Intel, AMD, etc.) Es posible conseguir que se ejecuta en un sistema con al menos 48 MB de RAM, pero no esperes mucho (como una interfaz grfica de usuario). Usted realmente necesita un ordenador Pentium con al menos 128 MB de RAM. Cuanta ms memoria RAM, mejor. Cmo instalar Helix? En resumen no instalar la hlice. 1) Grabar la imagen cd (Helix.iso) en un CD. 2) Asegrese de que su mquina puede arrancar desde un CD. (Comprobar el BIOS) 3) Vuelva a arrancar la mquina con el CD en la unidad de CD-ROM. 4) Utilice Helix. Si desea una instalacin permanente de Helix tiene la opcin de ponerlo en su disco duro. Hay una secuencia de comandos que lograr que se llama knx2hd. Tenga en cuenta que esto destruir todos los datos existentes en la particin de instalarlo en. Recibo un mensaje de "ERROR: Slo un procesador encontr" error Este mensaje no importa. Simplemente ignorarlo. El ncleo de la hlice puede manejar sistemas de varios procesadores, y puede en algunos casos pensar que su sistema puede ser multiprocesador cuando no lo es. Es no es un problema. Me sale el error No se puede encontrar Knoppix sistema de archivos. entonces se me cae a un shell limitada. Despus isolinux inicia la primera cosa Helix quiere hacer es descomprimir el sistema de ficheros. Sondas de hlice para el CD en todos los SCSI y los buses IDE. Si no lo encuentra que obtendr el error anterior. * Esto se fija en todas las versiones desde 1.4 Para porttiles de Transmeta y algunos Sonys con unidades PCMCIA cd Proveedores: hlice ide2 = 0x180 nopcmcia Tambin puede tratar de hlice nodma y / o hlice a prueba de fallos Cmo se licencia Helix? 360

Traducido por Sykrayo Espaa

Helix se basa en la distribucin original de Knoppix y conserva todas las licencias originales de esa distribucin. Todas las adiciones que he hecho estn cubiertos por la GPL o las licencias de los posibles autores.

361

Traducido por Sykrayo Espaa

Cul es la contrasea de root? No hay ninguna contrasea de root. Thisi s integrado en la distribucin Knoppix predeterminado que se basa en la hlice. Si necesita acceso root, realice una de las siguientes: 1) ejecutar el comando con 'sudo' 2) Ejecutar 'sudo' El Helix ISO tiene un virus o troyano? Mi programa AV los recoge. Helix no tiene ningn virus o troyanos. Se trata de un falso positivo de su programa antivirus. El escner de virus se est recuperando en el CD de herramientas (como herramientas Foundstones), que son herramientas de seguridad diseadas para encontrar los virus / troyanos que estn siendo captadas por el escner de virus. Ellos tienen la misma firma. Tenga la seguridad de que no hay virus / troyanos / backdoors en Helix. Obtener ms ayuda Desde Helix es libre, se trata sin ningn apoyo. Si usted tiene preguntas lean la lista de cambios (http://www.e-fense.com/helix/changelog. Php), que le dir lo que se ha cambiado ya que las versiones anteriores, y echa un vistazo a los foros (http://www.e-fense.com / hlice / forum / index.php)para ms informacin.

362

Traducido por Sykrayo Espaa

Los laboratorios de prcticas


En esta seccin, proporcionamos al alumno con varios laboratorios que pueden utilizar para practicar sus habilidades. Labo Ttulo ratori 1a Crear una imagen de un disquete sospechoso (Windows, Live Adquisicin, dd) o 1b Crear una imagen de un disquete sospechoso (Windows, FTK Imager) 2 Creacin de un disquete de una imagen sospechosa (Windows, FTK Imager)

Prximos laboratorios .... Lab 3 - Imagen previa de disquete sospechoso Lab 4 - Crear una imagen de disco duro sospechoso utilizando netcat

363

Traducido por Sykrayo Espaa

Lab 1a - Crear una imagen de un disquete sospechoso (Windows, Adquisicin vivo, dd) Se le ha dado un disquete de un sospechoso, y que desea crear una imagen de ella. En su sistema, inserte el CD de hlice, y una vez que el men aparece, seleccione el icono de "Adquirir una" "imagen de un sistema Windows utilizando dd" en vivo. Antes de insertar el disco en la unidad, asegrese de que est protegido contra escritura. Nuestra fuente ser la unidad A: \, nuestro destino ser C: \, y el nombre de nuestra imagen ser "Floppy01.dd".

Pulse el botn "Inicio Helix adquisicin", y se le presentar con un cuadro de previsualizacin de comandos

364

Traducido por Sykrayo Espaa

Haz clic en "S". Ahora recibir una pantalla de instrucciones que explica lo que debe hacer a continuacin:

Haga clic en "Aceptar". La herramienta de shell forense se abrir:

Una vez que la cscara se abre, haga clic en el interior del depsito, y seleccione "pegar" en el men contextual que aparece. La lnea de comandos se pegar en la cscara.

Pulse el botn "Enter" para ejecutar el comando. Despus de un minuto el comando terminar. 365

Traducido por Sykrayo Espaa

Ahora habr 3 archivos en el directorio de destino: Floppy01.dd - la imagen del disquete Floppy01.dd.md5 - un archivo que contiene el MD5 del archivo de imagen. Audit.log - un archivo que contiene el comando y la salida del programa.
Adquisicin de Servicios Forenses, 1, 0, 0, 1035 DD, 3, 16, 2, 1035 Copyright (C) 2002-2004 George M. Garner Jr. Lnea de comandos: .. \ Adquisicin \ FAU \ dd.exe if = \ \ \ R:. De = C: \ Floppy01.dd conv = noerror - Md5sum - verifymd5 - md5out = C: \ Floppy01.dd.md5 - log = C: \ audit.log Basados en la versin original desarrollado por Paul Rubin, David MacKenzie, y Stuart Kemp Microsoft Windows: Version 5.1 (Build Service Pack 2600.Professional 1) 29/09/200504: 39:53 (UTC) del usuario actual: TAL_MC \ bj Gleason no puede mostrar infoCopying dispositivo \ \ \ R:. para C: \ Floppy01.dd ... \ 1d32a686b7675c7a4f88c15522738432 [\ \ \ \ \ \ R:.] * C: \ \ Floppy01.dd Verificacin de archivo de salida ... \ 1d32a686b7675c7a4f88c15522738432 [\ \ \ \ \ \ R:.] * C: \ \ Floppy01.dd Las sumas de comprobacin no coinciden. Salida C: \ Floppy01.dd 1474560/1474560 bytes (comprimidos / descomprimidos) 360 0 registros en 360 +0 records out

Usted debe examinar el archivo audit.log. Si todo ha ido bien, debera ver que tanto el partido hashes MD5, y ver el mensaje "Las sumas de comprobacin no coincide". Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tena un problema de lectura del disquete. Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo audit.log, lo puso en el sobre de pruebas junto con el disco original, actualizar el formulario de cadena de custodia, y devolver los datos al almacn de pruebas.

366

Traducido por Sykrayo Espaa

Lab 1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Se le ha dado un disquete de un sospechoso, y que desea crear una imagen de ella. En su sistema, inserte el CD de hlice, y una vez que el men aparece, seleccione el icono de "Adquirir una" "imagen de un sistema Windows utilizando dd" en vivo. Haga clic en el tringulo para ir a la segunda pgina, el FTK Imager. Antes de insertar el disco en la unidad, asegrese de que est protegido contra escritura.

Pulse el botn "Inicio Imager" y el FTK Imager se cargar.

367

Traducido por Sykrayo Espaa

En el men, seleccione Archivo / Crear una imagen de disco. Seleccione la unidad lgica y haga clic en Siguiente.

Seleccione A: \ en el men desplegable, y haga clic en Finalizar.

368

Traducido por Sykrayo Espaa

Ahora se debe seleccionar la unidad de destino. Haga clic en "Agregar ..."

Usted puede elegir cualquiera de estos tipos de imgenes. Raw (dd) es el mismo formato que los creados por el comando dd, y es el formato ms universal. Smart es la herramienta de anlisis SMART ASR datos y E01 es el formato utilizado por EnCase. Asegrese de que la opcin "Raw (dd)" es la seleccin, y haga clic en Siguiente.

Puede utilizar el botn Examinar para buscar la carpeta que desea crear la imagen pulg Incluya un nombre de archivo de imagen, pero no la extensin - que se aadir automticamente. El tamao del fragmento de imagen se utiliza para dividir las imgenes grandes a trozos que pueden caber en medios extrables, como en este caso, para un 650 MB CDROM.Click Finalizar.

369

Traducido por Sykrayo Espaa

Volver de nuevo a esta pantalla. Clic Inicio.

Normalmente se tarda alrededor de un minuto para duplicar un disco.

Una vez que termine, se mostrar la imagen verificar los resultados, y si todo ha ido bien, debera ver que tanto el MD5 y SHA1 hashes coinciden. Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tena un problema de lectura del disquete. Haga clic en Cerrar. Puede hacer clic en Cerrar en la pantalla de imagen Creacin.

370

Traducido por Sykrayo Espaa

Si mira en la carpeta de destino, debera ver dos archivos: floppy1.001 - esta es la imagen del disquete, y debe ser 1440 KB de tamao. floppy1.001.txt-se trata de una copia del Imager Verifique pantalla Resultados.

Informacin para D: \ floppy1: Artculo probatorio Fsica (Fuente) Informacin: [Geometry Drive] Bytes por sector: 512 Conde Sector: 2.880 Fuente tamao de los datos: 1 MB Recuento Sector: 2880 [hashes computarizada] Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4 SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f Informacin de la imagen: lista de segmento: D: \ floppy1.001 Mar 31 de enero 2006 13:03:46 - Imagen Verificacin Resultados: Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4: verificado SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f: verificado

Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo floppy1.001.txt, lo puso en el sobre pruebas junto con el disco original, actualizar la cadena de custodia formar y devolver los datos al almacn de pruebas.

371

Traducido por Sykrayo Espaa

Lab 2 - Crear un disquete de un sospechoso de imagen (Windows, FTK Imager) Despus de crear una imagen de disco de un sospechoso, que podra ser una buena idea hacer varias copias fsicas duplicadas del disco, por si acaso. Para esta prctica de laboratorio, usted tendr que descargar la imagen del sospechoso, que es uno de los "anlisis de los retos Mes" del Proyecto Honeynet (http://www.honeynet.org). La url de la imagen es http :/ / www.honeynet.org/scans/scan24/image.zip. Descarga el archivo a una carpeta llamada "Lab2" en su estacin de trabajo forense. En su sistema, inserte el CD de hlice, y una vez que el men aparece, use la opcin del men "Quick Launch" para iniciar el FTK Imager. Antes de insertar el disco en la unidad, asegrese de que est protegido contra escritura.

En el men, seleccione Archivo / Crear una imagen de disco.

Seleccione la unidad lgica y haga clic en Siguiente.

372

Traducido por Sykrayo Espaa

Seleccione A: \ en el men desplegable, y haga clic en Finalizar.

Ahora se debe seleccionar la unidad de destino. Haga clic en "Agregar ..."

Usted puede elegir cualquiera de estos tipos de imgenes. Raw (dd) es el mismo formato que los creados por el comando dd, y es el formato ms universal. Smart es la herramienta de anlisis SMART ASR datos y E01 es el formato utilizado por EnCase. Asegrese de que la opcin "Raw (dd)" es la seleccin, y haga clic en Siguiente.

373

Traducido por Sykrayo Espaa

Puede utilizar el botn Examinar para buscar la carpeta que desea crear la imagen pulg Incluya un nombre de archivo de imagen, pero no la extensin - que se aadir automticamente. El tamao del fragmento de imagen se utiliza para dividir las imgenes grandes a trozos que pueden caber en medios extrables, como en este caso, para un 650 MB CDROM.Click Finalizar.

Volver de nuevo a esta pantalla. Clic Inicio.

Normalmente se tarda alrededor de un minuto para duplicar un disco.

374

Traducido por Sykrayo Espaa

Una vez que termine, se mostrar la imagen verificar los resultados, y si todo ha ido bien, debera ver que tanto el MD5 y SHA1 hashes coinciden. Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tena un problema de lectura del disquete. Haga clic en Cerrar. Puede hacer clic en Cerrar en la pantalla de imagen Creacin.

Si mira en la carpeta de destino, debera ver dos archivos: floppy1.001 - esta es la imagen del disquete, y debe ser 1440 KB de tamao. floppy1.001.txt-se trata de una copia del Imager Verifique pantalla Resultados.

Informacin para D: \ floppy1: Artculo probatorio Fsica (Fuente) Informacin: [Geometry Drive] Bytes por sector: 512 Conde Sector: 2.880 Fuente tamao de los datos: 1 MB recuento Sector: 2.880 [Hashes computarizada] Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4 SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f Informacin de la imagen: lista de segmento: D: \ floppy1.001 Mar 31 de enero 2006 13:03:46 - Imagen Verificacin Resultados: Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4: verificado SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f: verificado

Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo

375

Traducido por Sykrayo Espaa

floppy1.001.txt, lo puso en el sobre pruebas junto con el disco original, actualizar la cadena de custodia formar y devolver los datos al almacn de pruebas.

376

Traducido por Sykrayo Espaa

Apndice 1 - Samba archivo de configuracin Forense


# Samba Forense archivo de configuracin # Parmetros globales [Global] log file = / var / log / samba / log.% m remoto announce = 192.168.1.1/efense max log size = 500 domain master = s Interfaces = 192.168.1.1/255.255.255.0 dns proxy = No preserve case = S passwd program = / usr / bin / passwd% u prefiere master = s encrypt passwords = s servidor string = efense Forense Workgroup Server = efense hosts allow = 192.168.1. actualizar cifrada = S passwd chat = * New * UNIX * contrasea *% n \ n * Vuelva a escribir * new * UNIX * contrasea *% n \ n passwd: * all * Autenticacin * tokens * actualizado * xito * unix password sync = Yes netbios name = FORENSICS1 Opciones socket = TCP_NODELAY SO_SNDBUF = 8192 = 8192 SO_RCVBUF local master = s security = share os level = 65 name resolve order = lmhosts acogida bcast # Forensics Compartir informacin [Imgenes] comment = Imagen de Adquisicin de Acciones path = / mnt / images read only = no public = yes = s Navegable

377

Traducido por Sykrayo Espaa

Apndice 2 - Comandos de Linux


adduser adduser dsoneil | Este comando aadir automticamente un nuevo usuario al sistema | El script de Bash se puede encontrar en / usr / sbin si tiene que haber cambios | El comando alias permite sustituir un nombre nuevo para un comando | Un alias pueden contener opciones de lnea de comandos |. A menos que la definicin de alias est incluido en el archivo de inicio de sesin es slo temporal | Mostrar nombres de comandos basado en la bsqueda de palabras clave

alias

alias = ayudan hombre alias largo = ls-al

a propsit o en

apropos palabra clave

a las 1:23 lp / home / index.html | El comando at se ejecuta una lista de comandos a una hora determinada (por ejemplo, print @ 01:23) a las 1:50 echo "Job lp Hecho" | Se utiliza el comando echo para enviar un mensaje a las 1:50 diciendo un trabajo de impresin se realiza en-l | Lista todos los trabajos programados, un alias para el comando atq a-d 5555 | Esto cancelar el trabajo nmero 5555, un alias para el comando atrm Ejemplo: cat / etc / filename cat archivo.a> archivo.b cat-n archivo.a cat / proc / scsi / scsi | Temporalmente blanco | Imprime archivo especificado a la pantalla | Mueve archivo.a a archivo.b | Esto mostrar el contenido del archivo con nmeros de lnea (-b nmero slo hay lneas en blanco) | Esto muestra todos los procesos SCSI se ejecutan en el sistema

lote gat o

CD

cd / home / dsoneil cd ~ nombre de usuario chattr + i / etc / passwd chfn dsoneil

| Cambie los directorios a la especificada | Esto le pasar a los usuarios especificados directorio

chattr chfn

| Hace que el archivo con el nombre inmutable. Los atributos no se muestran con ls, el uso lsattr

| Esto le permitir cambiar la informacin de ese usuario | Como ejemplo, le permitir cambiar dsoneil a Darcy S. O'Neil

chmod

chmod 666 nombre de archivo | Este comando dar un archivo Leer - Escribir permiso para todos chmod 777 nombre de archivo | Este comando da Leer - Escribir - permiso de ejecucin para todos chmod a file = rwx | Esto le da a Leer - Escribir - permiso de ejecucin para todos los usuarios chown DSO / home / html chown DSO / home / archivo.a borra r cmp-s archivo.a archivo.b cp archivo.a archivo.b ls / home | cpio-o> / root cpio-it </ root> bk.indx | Este comando cambia el propietario del directorio especificado para DSO | Este comando cambia el propietario del archivo especificado a DSO | Esto borrar la pantalla

chown

borra r cmp cp cpio cpkgtool cron

| Compares 2 archivos de cualquier tipo. La opcin-s no devolver nada en los archivos arethe misma | Esto crear un duplicado de archivo.a bajo un nuevo nombre de archivo, archivo.b | Esto copiar los archivos de / home en el directorio / root | Esto extraer todos los archivos en / root y crea un archivo de ndice llamado bk.indx | Interfaz grfica de installpkg, removepkg, makepkg que utiliza ncurses. | Edite su archivo crontab personal | Los principales archivos crontab se pueden encontrar en el directorio / etc

crontab-e

fecha

fecha | Will outout la presente fecha a la pantalla fecha - date = "03/15/2001" | Esto fijar la fecha a 2001-Mar-15 fecha - date = "03/15/2001 11:59" | Esto fijar la fecha y hora df-HT dmesg | Imprime los mensajes de arranque para que pueda localizar errores du-k / home / html du-k / home / html / archivo.a e2fsck / dev/fd0 e2fsck / dev/hda1 | Muestra el tamao total, espacio utilizado y disponible en todos los sistemas de archivos montados

df dmesg du e2fsck

delespacio uso del en espacio disco, en kb, de la ruta | Proporciona un resumen de disco en utilizado por undentro determinado archivo especificada | Para "scandisk" un disquete (correr mientras el disquete se desmonta) | Tambin puede ser usada para analizar los errores de disco en particiones del disco duro

378

Traducido por Sykrayo Espaa

fc

fc-l

fdformat

fdformat / dev/fd0 fdformat / dev/fd0H1440 fdisk-l / dev / hda fdisk / dev / tuvo

| Listas de las instrucciones previas (Tenga en cuenta que es peligroso fc w / o-l, ya que | Correr comandos) | Formateo de bajo nivel de una unidad de disquete en la unidad fd0 | Esto Formatear un disco "Double Sided High Density" | Lista de todas las particiones en el disco tena, con el montaje fuera | N: P, primaria: 1: t, c (Fat 32 LBA)

fdisk

379

Traducido por Sykrayo Espaa

expediente

archivo archivo.a archivo-z file.a.tar archivo-L archivo.a archivo-k archivo.a

| Este comando intentar determinar qu tipo de archivo es archivo.a. (Ejecutivo, texto, etc) | Looks dentro de un archivo comprimido para determinar su tipo. | Sigue los enlaces simblicos a seguir para determinar el tipo de archivo | No se detenga en la primera prueba emparejado | Busca la cadena especificada (passwd), comenzando en el directorio especificado (/ path) | Todos los nombres de archivos o directorios que contengan la cadena se imprimirn a la pantalla | Esto muestra todos los usuarios actualmente conectados al sistema UNIX | Proporciona una instantnea del uso de la memoria del sistema | Comprobacin del sistema de archivos y de reparacin | Se trata de un visor de sistema de archivos (Uso F10 para salir)

encontrar

find / ruta-nombre passwd

dedo libre fsck git grep

dedo libre-t-o fsck / hda

| Esto busca y limita la salida de comando para el patrn especificado | En este caso, se imprimen todos los casos de DSO desde el archivo / passwd / etc grep-i "muestra" / home / dsoneil | La opcin-i hace que la bsqueda indiferente al caso (por ejemplo, muestra o muestra) groupadd grupos gzip groupadd sudos grupos gzip archivo.a gzip-d file.a.gz tar-zxvf file.a.tar.qz historia | grep sneak historia-d 1061 | Crear un nuevo grupo llamado sudos en el sistema | Muestra los grupos a los que est en | Esto zip archivo.a y darle el file.a.gz extensin | Esto descomprimir el archivo file.a.gz | La bandera z le permite descomprimir el archivo tar sobre la marcha | Para retrive sus instrucciones previas por "colarse" en alguna parte. 6/00 | Para borrar la entrada historia 1061, que puede ser una contrasea en texto plano. | Obtener o establecer el nombre de host. Por lo general, el nombre de host se almacena en el archivo / etc /

cat / etc / passwd | grep DSO

historia

nombre de host HOSTNAME. ifconfig

ifconfig eth0 | Esto mostrar el estado de la interfaz definida actualmente (tarjeta Ethernet por ejemplo, 0.) Ifconfig eth0 | Esta opcin hace que el iterface se active (Para desactivar una interfaz de uso abajo) ifconfig eth1 192.168.0.2 hasta | Hace eth1 activa con la direccin IP 192.168.0.2 | Utilizado (por root) para instalar los controladores de dispositivos modulares installpkg-r packagename.tgz | Esto instalar un paquete de Slackware con el nombre especificado (opcin-r) | Este comando se utiliza para aceptar o denegar el acceso a su sistema | Esto bloquear la direccin IP 24.1.50.25 accedan a su sistema | Este comando va a negar su sistema accediendo a esta direccin IP | [-A append] [fuente-s] [-d destino] [-j unirse] | Esto muestra todos los trabajos que actualmente se ejecutan en el sistema | GUI para aadir / quitar mdulos del kernel (como root en la terminal X). matar a kill -9 2587 | Muertes del proceso especificado por el nmero de identificacin de proceso (2587) | La bandera -9 fuerza al proceso de morir | Imprime en la pantalla el nombre de usuario, ubicacin, inicio de sesin y desconectarse | ltimo |-X inicios de sesin en el sistema. El nombre de usuario seleccionar la ltima vez que x | Ha utilizado el sistema. El ltimo comando no es rastreable.

insmod installpkg ipchains

ipchains [-A-s-d-j] [Entrada / Salida] ipchains-A input-s 24.1.50.25-j DENY ipchains-A output-d 24.1.50.2-j DENY

trab ajos kernelcfg matar 2587

trabajos

lti mo

ltima -300 tiempos de ltima -5 nombre de usuario persona

lastlog

lastlog

| Muestra una lista de los intentos / horas de inicio de sesin de todos los usuarios del | Sistema (control de seguridad) | Mostrar fragmento biblioteca Dependencias | Menos de una pantalla a la vez muestra la informacin, tambin podr pgina | Ida y vuelta | Para escribir o corregir arrancar config en el disco. Utilice este comand despus | Modificando / etc /

ldd menos index.html lilo

ldd. / test.exe menos / html /

lilo-v

380

Traducido por Sykrayo Espaa

lilo.conf | Haga esto antes de reiniciar (para evitar "LIL-" en el arranque) si ha sido | Hace tiempo lilo-b / dev/fd0 Este comando crea un disco de arranque ln ln-s / usr / DSO. / home / html | Crea un enlace "simblico" en el primer directorio o archivo en el segundo. |. Un usuario cambiar en / home / html en realidad por objeto el Directorio / usr / DSO |.

381

Traducido por Sykrayo Espaa

localiz ar lpr

localizar wordperfect lpr / home / html / index.html lprm 12 lpq ls-al

| El comando locate localizar el archivo especificado salida aand un | Ruta del directorio (ver "updatedb") | Este comando imprimir el archivo index.html a la impresora

lprm lpq ls

| Este comando cancelar el trabajo de medio litro 12 en la cola de impresin | Esto mostrar el contenido de la cola de impresin | Muestra toda la informacin de todos los ficheros (-a) en el directorio actual en una sola lnea | Formato (-l). Incluye permisos, propietarios, fecha de modificacin, tamao de archivo | Y el nombre | Marcas (directorios con un / final) - (ejecutables con *) | (Enlaces simblicos w / @) | Esto ist todo IP4 (enmascaramiento) entradas en el sistema | Directorios de procesos | Lista de archivos por ltima vez el acceso | Usado (de raz) para mostrar los mdulos del kernel cargados actualmente

ls-F ls / proc/sys/net/ipv4 ls-Alru lsmod lsof lsof | grep: <nmero lsof-i netstat. lsof-t lspci hacer mrproper make menuconfig

lspci hacer

| Esto le mostrar lo que el programa tiene que abrir el puerto. | Esto mostrar las conexiones a Internet como | Esto mostrar los procesos | Listas de los dispositivos PCI

make modules

| Limpia basura accidentalmente dej el equipo de desarrollo | Esto le har una serie de preguntas sobre su sistema y |requisitos de disco make dep | Esto utilizar las dependencias make clean | El comando de limpieza va a limpiar los archivos innecesarios dej por ah make bzImage | Esto comenzar el proceso de compilar su nuevo ncleo hacer ln | Esto especifica que la fuente se compila en un sistema Linux make install | Despus de que el comando make esto instalar los binarios compilados para | Sus directorios | Esto compilar todos los mdulos necesarios hacer modules_install | Esto instalar mdulos en el directorio / lib / modules man vi | Imprime la pgina del manual sobre el tema especfico (vi) a la pantalla. Para desplazarse hacia | La pgina de la barra espaciadora, para desplazarse hasta el uso de la letra b, para salir pulse q.

hombre abajo

md5sum

md5sum filename.tgz perfectamente md5sum-b md5sum-t mkdir pascal mkfs-t msdos-c-v / dos-drive mkfs-t xfs-c-v / home bloques defectuosos mkfs.vfat-v-F32-n DATA / dev/hda1 ms / home / html /

| Para garantizar una copia entre mquinas sali | Lee archivos en modo binario | Lee archivos en modo texto | Esto crear nuevo directorio (pascal) en el directorio actual | Da formato a una particin y construye un nuevo sistema de archivos en l |-T especifica el tipo de sistema de archivos,-v produce una salida detallada,-c comprueba |-N volumen de etiquetas | Pagina el archivo especificado para que pueda leerse lnea a lnea (mediante la tecla Enter) o | Pantalla a pantalla utilizando la barra espaciadora. Use la tecla b para moverse hacia atrs y q para salir. | Monta la particin MS-DOS en el disco duro (hda5) en el directorio / dos | Permite montar el CD-ROM en el directorio / cd | Monta la unidad de disco con un sistema de archivos msdos a / mnt | Intenta montar todos los sistemas de archivos ubicados en el archivo / etc / fstab | Mueve el archivo especificado en otro directorio | Esto nos dar una lista de los servidores TCP actualmente en ejecucin que | Est escuchando en un puerto | Esto listar todos los puertos TCP y UDP abiertos | Este comando ajusta la prioridad de un proceso antes de que comience | Cuanto mayor sea el nmero, menor es la prioridad. Todo proceso de inicio a las 10 | Esto puerto escanear el servidor "localhost" para determinar los puertos abiertos | Esto comprobar minuciosamente todos los puertos en el sistema (UDP y TCP)

mkdir mkfs

ms index.htm

montar

mount-t msdos / dev/hda5 / dos mount-t iso9660/dev/sr0 / cd mount-t msdos / dev/fd0 / mnt mount-a / etc / fstab mv. / home / archivo. / DSO / archivo netstat-tap | grep LISTEN

mv netstat

netstat-t-u-a bonito two.b nmap bonito -5 especie one.A>

nmap localhost nmap-sT-sU-p 1-65535 localhost

382

Traducido por Sykrayo Espaa

nohup passwd passwd

| Este comando permite que un proceso contine despus de que finalice la sesin | Inicia el programa de contrasea para que el usuario puede cambiar su contrasea

383

Traducido por Sykrayo Espaa

ps estado

ps ps-ef | grep dsoneil

| Lista todos los procesos actuales de funcionamiento, sus correspondientes PIDS, as como su | Este encontrar todos los procesos para el usuario dsoneil | Proporciona una lista de procesos que se ejecutan en una estructura de rbol | Imprime el directorio de trabajo actual | Listas de las cuotas de los usuarios, tanto para ada (/ home / ada / a # / nombre de usuario) y | (/ Var / spool / mail / usuario), lo que indica el nmero de bloques utilizados y | Los usuarios de cuota.

pstree pwd cuota

pstree-p pwd cuota Amelia

renice

renice -5 6641

| Permite ajustar la prioridad del proceso de ejecucin 6641 (El 5 reduce el | Prioridad de usar menos recursos) | Esto eliminar el paquete llamado, pero hacer una copia en el directorio / tmp | Elimina el archivo especificado en el directorio actual | Elimina archivos especificados, pero pide confirmacin antes de eliminar | Elimina el directorio y todos los archivos especificados en dicho directorio | Elimina el directorio vaco especificada, si no est vaco se quiere | Aparecer un error | Elimina el directorio y todos los archivos de ese directorio (si es compatible) | Muestra la tabla de enrutamiento IP del ncleo Linux | Esto le indicar qu otros sistemas de la red para encaminar el sistema de | Esto indicar al sistema donde se encuentra la puerta de acceso a Internet | Esta informacin puede ser aadido a que los archivos de sistema / etc / rc.d / rc.local | Esto desempaquetar un archivo RPM. Este es el mtodo ms bsico de la instalacin | Esto instalar una actualizacin a un paquete RPM anterior. | La opcin-force forzar el paquete para reinstalar | Esto eliminar y el paquete RPM. (No es necesario utilizar el |nombre completo) | Este comando utiliza el indicador "sin dependencias". | Esto le dar una impresin de pantalla de todos los paquetes instalados (q es query) | Esto imprimir todos los paquetes RPM gtk en el nombre del archivo | Esto proporcionar informacin sobre el paquete que est a punto de instalar | Esto reconstruir un paquete si se ha daado por otro |proceso de instalacin | Esto convertir un archivo RPM a un paquete tgz de Slackware. | Se comprobar el estado del servicio smb | Estado de la pantalla de todos los servicios | Para garantizar una copia entre mquinas sali | Lee archivos en modo binario | Lee archivos en modo texto

removepkg rm archivo.a

packagename removepkg-copia rm rm-i archivo.a rm-r / home / DSO

rmdir

rmdir pascal

rmdir-r pascal ruta

route-n route add-net 192.168.0.0 eth0 route add default gw 192.168.0.5 eth0

rpm

rpm-i-file.2.0 i386.rpm rpm-U-file.2.0 i386.rpm rpm-i-force fichero.rpm rpm-e file.2.0-i386.rpm

rpm-i-nodeps fichero.rpm rpm-qa rpm-qa | grep gtk rpm-qi file.2.0-i386.rpm rpm-reconstruir file.2.0.rpm rpm2targz servicio smb rpm2targz filename.rpm Estado del servicio servicio de estado, todo sha1sum sha1sum filename.tgz perfectamente sha1sum-b sha1sum-t

cierre

shutdown-t 10.00 shutdown-r-t 20.00 shutdown-t 10 buen da shutdown-f

| Esto se notificar a todos los usuarios registrados que el sistema se apagar a las | 10 a.m. | Esto reiniciar el sistema a las 8:00 PM | Este se apagar el sistema en 10 minutos con el mensaje |"Buen da" enviada | El-f causar Linux para hacer un reinicio rpido | Para ordenar los archivos. (Opciones-r Invertir orden normal,-n Ordenar en orden numrico | Muestra los caracteres imprimibles

ordena r cuerda s do de usuario alquitrn

Ordenar mifichero cuerdas mifichero

Su nombre

| Esto le permitir acceder a los privilegios de superusuario. | Escriba exit para volver a la normalidad | Este comando copia el directorio / home en el fichero / user / dso.tar DSO

tar-cf / usr / dso.tar / home tar cvf / backup.tar /

384

Traducido por Sykrayo Espaa

| Esto crear un archivo tar de todo en el tar-xvf file.a.tar tar-tvf file.a.tar | ms tar-zxvf file.a.tgz

directorio / DSO | Este comando extrae el archivo tar | Esto le permitir comprobar si el archivo tar comienza con un directorio | Este comando descomprimir y extraiga el archivo en un solo paso en lugar | A la utilizacin de gzip

superior

M para la informacin de uso de la memoria| Este programa muestra una gran cantidad de cosas que ocurre en su sistema. En el P para la informacin de la CPU | Programa, puede teclear: q para salir

385

Traducido por Sykrayo Espaa

tocar updatedb upgradepkg umask

touch archivo.a updatedb upgradepkg packagename.tgz umask-S u = rw, g =, o = umask 022

| Crea un archivo vaco en el directorio actual con el nombre de archivo | Esto actualizar la base de datos "locate" | Esto actualizar un paquete Slackware y eliminar los viejos o no los archivos utilizados | Especifique el permiso para los archivos cuando se crean los archivos para el propietario (u), | Grupo (g), y otros (o) |puede utilizar 022 por permiso de solo lectura de archivos para otros y 077 para lectura |y permiso de escritura | Esto imprimir a la pantalla del Kernel Linux en uso en su sistema el tiempo de actividad-a 192.168.0.100 | Ralent durante ms de una hora | Muestra el tiempo de funcionamiento del sistema, e

uname

uname-a

el tiempo de actividad incluye una lista de los usuarios que han sido

userdel

userdel-r dsoneil

| Esto eliminar la dsoneil usuario del sistema, la opcin-r, se eliminarn | Las usuarios / home | Lista todos los usuarios actualmente conectados al sistema UNIX. Proporciona informacin | Como nombre de usuario, tiempo de conexin, tiempo de inactividad, y la corriente de accin | Proporciona un resumen de una lnea de comandos | Esto buscar a travs de todos los directorios en la ruta de acceso actual y encontrar todos | Archivos con el nombre del archivo | Listas de usuarios con sesin iniciada nombre de usuario, el puerto, y cuando se registran en

whatis que archivo

whatis cat que-un nombre de

que whoami

que whoami | Indica al usuario que estn actuando como, por lo general su propio nombre de usuario.

HERRAMIENTAS DE ANLISIS FORENSE: CONTENIDO DE LA CAPA DE HERRAMIENTAS: dcat dcalc dls dstat XXX debugfs . dcat-f-linux ext2-h / * img 357 | less dcalc-u 345 / *. img 644 dls-f-linux ext2 / *. img> *. img.dls dstat-f-linux ext2 / *. img 357 | Mostrar el contenido de un bloque de disco (-h vista hex) | Mapas de imgenes entre DD y dls resultados | (UNRM en TCT) Listas contenido de bloques de disco borrados | Lista de estadsticas asociadas con el bloque de disco especfico de una imagen

debugfs [opciones] *. img |Ver y editar archivos ext2 DE UN debugfs smbolo del sistema: debugfs: lsdel |Enumere Inodes eliminados debugfs: | Escribe un archivo fuera de la img. escribir debugfs: Gato <inode#> |Leer el contenido de un debugfs inodo: dump <inode#> / mnt / archivo.txt | Vuelca el contenido de un inodo. debugfs: dump-R "stat <inode#>" * img | Ofrece mayores datos sobre el inodo..

ARCHIVO sistema de capas HERRAMIENTAS: Tipos de archivos: ext2, linux-linux-ext3, Solaris, OpenBSD, FreeBSD, NTFS, FAT, FAT12, FAT16, FAT32 fFind fFind-f-linux ext2 / *. img 2060 -Un fls-f-linux ext2 hda2.dd 33 -Un -D -U -D -F -R -P -M -L -Z -S . fsstat-f-linux ext2 / img * | less | Determine qu archivo se ha asignado a un nodo-i en una imagen | Busca todas las ocurrencias de ese archivo | Muestra las entradas de archivo y directorio en Inode Directorio | Pantalla y directorios '..' '.' Mostrar slo las entradas eliminadas | Slo se muestran las entradas no eliminados | Slo las entradas de directorio de Display | Slo las entradas de archivo de pantalla | | Recursividad en directorios | Mostrar la ruta completa al recursiva | Mostrar en el formato de importacin calendario | Mostrar versin larga (todos los tiempos y de informacin) | Especifique la zona horaria (de '-l' listado) | Reloj asimetra en segundos ('-l' nica y-m) | Muestra los detalles sobre el sistema de archivos

fls

fsstat XXX

386

Traducido por Sykrayo Espaa

fsgrab

fsgrab-c 1-s 57 *. img> *. txt -C #

| Se puede tomar directamente de los bloques del disco |Nmero de bloques para agarrar

387

Traducido por Sykrayo Espaa

-S # Lzaro lazarus-h / *. img.dls -H

| Nmero de bloques para saltar | Toma un espacio no asignado de datos en bruto y lo pone en orden |-H dirige la salida a HTML | Anlisis mactime independiente, escribe STD-OUT para netcat. | Se utiliza para correlacionar los archivos de datos, desde fls / ILS, ladrn de tumbas, | Ejecutar mactimemac-ladrn Comenzando desde 01/01/2001 | Ubicacin del archivo de contrasea (para reemplazar UID) | Grupo ubicacin del archivo (para reemplazar GID) | Fechas utilizan el ao primero | Especifique la zona horaria

mac_daddy.pl mactime-b / *. mac> / *. todo mactime mactime mactime-b 01/01/2001 / *. mac> / *. todo -P -G -Y -Z Meta Data Herramientas de capa: icat icat-hf-linux ext2 / *. img 2060 -H /-H ifind-f-linux ext2 / *. img 2060 ils-de-linux ext2 / dev/hda1 -O eliminado -E -R -F -M ISTAT-f-linux ext2 / *. img 2060 XXX clasificador clasificador-f-linux ext2-d / *. img / clasificador -E -I -L -S -C

| Muestra el contenido de un bloque de disco asignado a un inodo |-H no se muestran los agujeros de archivo, H-DO agujeros pantalla | Determine qu inodo ha asignado un bloque en una imagen | Mostrar informacin de i-nodo, incluso los borrados | Abrir archivos pero no enlazados en un sistema vivo, el proceso est en marcha, pero el archivo es | Lista Cada inodo | Archivos eliminados, de forma predeterminada | Indica ils que presentan la estructura del sistema para leer Extrae datos de inodes borrados | Muestra informacin acerca de un inodo especfica | Clasificador corre tanto 'fls-r' y 'icat' para identificar el contenido Slo desajuste Extensin | Slo Categora Indexacin | | Lista de detalles a slo STDOUT (por infrarrojos) | Guarde los datos en directorios categora | Archivo de configuracin

iFind ils

IST AT

Herramientas forenses: LIVE ladrn de tumbas ladrn de tumbas [Opciones]> STD-OUT -E -I -P -S -T -L |Herramienta de captura de datos | Grabs Todo | Recopila datos inodo desde el espacio no asignado | Ejecutar comandos de proceso | Rena red y el host info | Agarra todas las informaciones confianza | Lstat Run () de todos los archivos para obtener informacin Inode | Ejecutar en un sistema activo para crear una lnea de tiempo. | Ejecutar en un sistema activo para crear una lnea de tiempo. pcat process_ID | Copiar en la memoria del proceso de sistema en vivo

mac-papi mac-ladrn pcat

Los datos de localizacin / Etc / issue / Tmp / install.log / Etc / zona horaria / Var / log / boot.log / Etc / fstab | Sistema operativo y versin. | Fecha de instalacin del sistema operativo o de lista de archivos. | Zona horaria del sistema. | Fechas de inicio. | Informacin de las particiones.

Otros comandos tiles Dilogo de instalacin: Ctrl-Alt-F1 Ctrl-Alt-F2: intrprete de comandos Registro de instalacin: Ctrl-Alt-F3 Ctrl-Alt-F4: Los mensajes relacionados con el sistema Ctrl-Alt-F5: otros mensajes

388

Traducido por Sykrayo Espaa

Ctrl-Alt-F7: display grfico X

389

Traducido por Sykrayo Espaa

Referencias
Acceder a los datos. (2005). FTK Imager archivo de ayuda. Carvey, H. (2005a). Primera Utilidad Responder. Consultado el 31 de enero 2006, a partir de http://www.vientoowsir.com / herramientas.html Carvey, H. (2005b). Forense de Windows y de recuperacin de incidentes. Boston: Addison-Wesley. Chuvakin, A. (2002). Linux Hiding y recuperacin de datos. Consultado el 04 de febrero 2006, a partir de http://www.linuxsecurity.com/ Centienda / view/117638 / Espero ordenador. (2006a). 3.5 Floppy. Consultado el 31 de enero 2006, a partir de http://www.computersaltoe.com / jargen / h / headslot.htm Espero ordenador. (2006b). 5,25 Floppy. Consultado el 31 de enero 2006, a partir de http://www.computersaltoe.com / jargen / h / headslot.htm Inteligencia Digital. (2006a). Lectores de tarjetas de forenses. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com / productorescts / Forensic_card_readers / Inteligencia Digital. (2006b). Ultrablock. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com / productorescts / ultrablock / Inteligencia Digital. (2006c). Escribir USB bloqueador. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com/ Productorescts / usb_escribir_blocker / Erickson, L. (2004). SNCF Software Write-bloque XP - Paso 5 Validacin. Consultado el 25 de enero 2005, a partir de www.ncfsorg / flota / bloquek/index.htm Frisk Software International. (2006). F-Prot Antivirus para estaciones de trabajo Linux - para los usuarios domsticos. Consultado el 04 de febrero 2006, a partir de http://www. F-Prot.com/ Products/home_use/ Linux / Gregg, B. (2004). Chaosreader. Consultado el 04 de febrero 2006, a partir de http://users.tpg.com.au / adsln4yb / chaosreader.html Harbour, N. (2006). dcfldd. Consultado el 04 de febrero 2006, a partir de http://dcFldd.sourceforge.net / Hurlbut, D. (2005). Proteccin contra escritura de dispositivos USB en Windows XP. Consultado el 31 de enero 2006, a partir de http://www.accessdata.com / media / en_us / pryont / papers/ Wp.USB_Write_Protect.en_us.pdf Kornblum, J. (2006). La ms importante. Consultado el 03 de febrero 2006, a partir de http://foremost.sourceforge.net/ McDougal, M. (2005). Ventanas Forense Toolchest. Consultado el 31 de enero 2006, a partir de http://www.foolmoon.net/seguridad / WFT / index.html McLeod, J. (2005). Coleccin de informes de respuesta a incidentes (IRCR2) Archivo Lame. Consultado el 31 de enero 2006, a partir de http://ircr.tripod.com / MemoryStick.com. (2006). MemoryStick proteccin contra escritura. Consultado el 31 de enero 2006, a partir de http://www.meMorystick.com / en / ms / hazaaures. HTML Owen, H. (2004). ECE 4112 Internetwork Seguridad Lab: Proteccin de Datos. Consultado el 04 de febrero 2006, a partir de http://users. Ece. Gatech.edu / ~owen / Acadmico/ ECE4112/Fall2004 /Projects/ Datos% 20Protection.doc SecReport. (2005). Consultado el 31 de enero 2006, a partir de http:/ / Members.verizon.net / ~ vze3vkmg / index.htm. La sala de estar. (2006). Tarjeta MMC / SD. Consultado el 31 de enero 2006, a partir de http://www.livingroom.org.au / photolog / pretec4gb sd--Memria-card-1.jpg Vincent, L. (2006). Hardware Lister (lshw). Consultado el 05 de febrero 2006, a partir de http://ezyox.sursosefalsificar.net / software / lshw.html Wikipedia. (2006a). Knoppix. Consultado el 07 de febrero 2006, a partir de http://en.wikipedia.org/wiki / Knoppix Wikipedia. (2006b). Linux. Consultado el 07 de febrero 2006, a partir de h t p / : e n . w k i p i e dia.org / wiki / Linux Wikipedia. (2006c). Xfce. Consultado el 07 de febrero 2006, a partir de h t p / : e n w . k i p i e dia.org / wiki /Xfce Zalewski, M. (2002). Fenris. Consultado el 04 de febrero 2006, a partir de http://www.bindview.com /Servicios/ RAZOregn/ Utilities / Unix_Linux / fenris_index.cfm

390