Quitar el cartel "modo de prueba en Windows 7"

Hay veces que nos aparece un cartel de modo de prueba al iniciar Windows 7. Bien, vamos a ver como podemos quitarlo rápidamente.

Vamos al botón de inicio y en el cuadro de búsqueda escribimos "cmd" (sin las comillas). Con el botón derecho, encima le damos a "ejecutar como administrador". 

Nos aparece la ventana del símbolo del sistema y en ella escribimos:

 bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS

y le damos a la tecla intro

Nos indicará que se ha completado con éxito. Ahora escribimos:

bcdedit.exe -set TESTSIGNING OFF

Volvemos a darle a intro y reiniciamos el ordenador.

Cuando el equipo se haya reiniciado ya no saldrá más el cartel.

Espero que os ayude.

akil3s.

Fileinsight (Analiza webs con código malicioso)

Hola a todos.

Hoy os traigo una herramienta gratuita de McAfee con la puedes analizar paginas web con código malicioso. La podéis descargar desde aqui. La instalación no tiene ninguna dificultad, así que lo vamos a omitir (cualquier duda en los comentarios).

La interfaz es bastante amigable, (a mi me recuerda bastante el estilo de Office 2007). Puedes analizar desde el disco duro o bien escribiendo la URL. Puedes ver los resultados en formato de texto o en hexadecimal.

Nos permite analizar e importar estructuras en C/C++ es capaz de decodificar JavaScripts y códigos en IA32 y contiene plugins de análisis automatizado.

struct ANIHeader {
DWORD cbSizeOf; / / # de bytes en AniHeader DWORD cbSizeOf; // Num bytes in AniHeader
CFrames DWORD; / / serie de iconos únicos DWORD cFrames; // Number of unique Icons
CSteps DWORD; / / Número de Blits DWORD cSteps; // Number of Blits
/ / ... // ...
}; };

 

Es una buena herramienta para revisar paginas con código malicioso. Os recomiendo que la probéis y saquéis vuestras propias conclusiones.

akil3s.

Fuente: McAfee

Crear mensaje en el inicio de Windows (7)

Hola a todos.

Hoy vamos a ver como podemos "tunear" nuestro equipo con un mensaje personalizado.
Es algo bastante sencillo, aunque vamos a tocar el registro, pero no pasa nada porque ya sabemos como hacer un bakup del registro. 

Vamos al tajo. Lo primero es abrir el registro - y ya también sabemos como hacerlo - por ejemplo, tecla de Windows + R y buscamos la siguiente clave.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bien, ahora hay que localizar en el panel de la derecha "LegalNoticeCaption". Le damos doble click y escribimos algo significativo.

Ahora buscamos "LegalNoticeText" dentro de Winlogon también, y ponemos la descripción del texto que queremos poner en el inicio de sesión. Es igual si tienes una sesión o si arranca directamente (aunque no lo recomiendo)

Y esto es todo, solo nos falta reiniciar y ya tendremos nuestro mensaje al iniciar.

Nominado a los premios "Héroes Digitales"

Hoy mi querida amiga @TrinityMadrid me ha presentado a los premios "Héroes Digitales". 
Solo tengo buenas palabras para ella que siempre me esta echando una mano y dándome ánimos para que siga a pie del cañón.

Participo en la sección "Héroe Anónimo"

Sin más os dejo el link para que me votéis si es menester.

Pincha en la imagen para votar.

Gracias por todo Trinity.

"Principios forenses" (básicos) I eliminar historial de navegación

==================================================

"Principios forenses" (básicos) I eliminar historial de navegación 

"Principios forenses" (básicos) II La información EXIF

==================================================

Hola, hoy vamos a ver algo de forense (facilito). Es un tema que me gusta bastante y, aunque no estoy todo lo puesto que me gustaría, he de reconocer - que después del Curso de Perito Telemático Forense del ANTPJI y de los cursos que hice en I64 el año pasado (forense en RAM, forense de Malware y forense en IOS)- algo más si que se xD.

Bueno, a lo que voy.

Siempre se recomienda en las charlas que al cerrar la sesión de Internet Exploer, debemos limpiar los datos de navegación, por si en algún momento nos dejamos la sesión sin cerrar (mal!, luego viene el #AtaqueBerengario xD).

Bien, pues vamos a ver como aún habiendo borrado el historial, podemos ver ciertas cosas.

Hay una forma de ver el historial desde el registro y es en la siguiente clave:

Pero, el problema de esto, es que en el momento en que se elimine el historial, dejaremos de ver en esa clave, las webs visitadas.

De hecho, desaparece el contenido y la clave TypedURLs, como se ve en la siguiente imagen.

Así que esto solo nos vale en el supuesto caso de que alguien no elimine el historial al terminar de navegar.

Vamos un poco mas allá. Es posible que nos encontremos con que el usuario ha borrado el historial y tenemos que averiguar (por una investigación) alguna web visitada en concreto.

En Internet Explorer 6, 7, 8 y 9 había un archivo llamado index.dat que es el indice de referencia que usa Internet Explorer (a partir de ahora IE) para buscar dentro del historial.

Este archivo, por defecto esta marcado como oculto y además es de sistema, así que, para poder verlo, debemos marcar las siguiente opcion (mucho cuidado al dejar a la vista los archivos de sistema, ojo con lo que tocáis)

Como ya tenemos activa esa opción, vamos a buscar el/los archivos. Haciendo una búsqueda rápida con Windows obtenemos esto:

Obviamente, según el sistema operativo, estas rutas cambian, en Xp recordemos que usuarios se llamaba documents and settings, así que hay que tener esto en cuenta a la hora de buscar.

Una de las herramientas que nos ayudará a realizar la búsqueda es Pasco (podéis descargarlo desde aqui) 

La forma de usarlo es desde la linea de comandos:

Pasco -d -t index.dat >index.csv

Lo que nos permitirá después abrirlo en una hoja de excel. Como en la maquina de pruebas no tengo office instalado, le dire que me lo pase a un .txt para que se pueda ver si necesidad de tener excel instalado, quedando de la siguiente manera.

Pasco -d -t index.dat >index.txt

Si entramos en la carpeta de pasco y navegamos a su ruta veremos lo siguiente:

Ahora abrimos una ventana de CMD y escribimos lo que se ve en la siguiente imagen.

Después de dar a intro, volvemos a ver la carpeta y vemos que ya esta listo el .txt para revisarlo.

Lo abrimos y en el podemos ver lo siguiente.

Es decir, el historial de navegación del usuario, aún habiéndolo eliminado desde el propio IE.

Otras de las cosas que podemos investigar y que podria darnos algunas pistas es la ruta

C:\Users\tu_usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files

Son los archivos temporales de IE (los cuales también deberíamos borrar para no dejar rastro).

Otra herramienta que también nos puede venir bien a la hora de ver los archivos index.dat es Index.dat Analyzer que podéis descargar desde aquí.

La instalación no tiene mayor misterio, así que no lo voy a explicar para no hacer la entrada eterna.

Simplemente abrimos el programa y detecta los archivos. Una vez los detecta, nos lo muestra en pantalla.

Esto, siempre que no se haya borrado el historial de IE...

Y hasta aquí la entrada de hoy.
Espero que os guste.

akil3s.

Espejismos (Off topic)

Una vez mas, quiero dejar un vídeo de Porta, en este caso Espejismos.

De esto ya se hablo aqui largo y tendido, mucho mejor explicado que en el vídeo, así que esta vez omito comentarios.
Eso si, también he vivido esto aunque por suerte no tan "de cerca".




Esto también es X1RedMasSegura.