Forensics in Spanish
Consulta Reto Forense III... Feb 22 2006 05:53AM
Anatoly Alexei Pedemonte Ku (anatoly ragesys net) (3 replies)
Re: Consulta Reto Forense III... Feb 22 2006 02:05PM
Isaac Perez (suscripcions tsolucio com) (1 replies)
RE: Consulta Reto Forense III... Feb 22 2006 05:58PM
Anatoly Alexei Pedemonte Ku (anatoly ragesys net)
Gracias por responder

Bueno si tienen razon, se que se puede hacer con dd (dd if=[archivo imagen]
of =[particion en formato WMI], ya que lo administro desde windows..., pero
asi tengo problemas) pero si va a hacer imposible cargar el sistema
operativo de la imagen montada con dd a la particion del disco, ya que el
problema proviene por la configuracion del hardware donde a sido instalado.
La solucion seria repararlo con el disco de win2k3, pero ya pues la imagen
pierde muchas cosas para el analisis forense. Lo que deseo es entrarme al
registro de esa imagen y extraer algunos valores para el analisis, te dire
que viendo los archivos y exp.orando el disco ya he encontrado
vulnerabilidades al respecto e inclusives ataques al sistema.

Ahora tengo una duda, con respecto al dd, quizas me este equivocando con la
sintaxis del dd, en windows, alguien puede determinar el problema por que
cuando reinicio el sistema operativo residente no de la imagen en la
particion, no lo logra levantar automaticamente...

Sobre VmWare, pues no o he probado, pero la solucion al tema de arrancar el
sistema operativo de la imagen, no es mi necesidad, en este momento, seria
montar una particion fisica con la imagen y bueno agarrar un live cd y
montar la particion y comenzar el analisis....

Bueno espero mas comentarios al respecto...

-----------------------------------------------------------
Anatoly Alexei Pedemonte Ku
RAGE SYSTEMS S.A.C.
http://www.ragesys.net
Av. Juan Pascal Pringles 1225 (ex- La Fontana)
Teléfono: 511.3482883
Móvil: 511.97167435
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su
destinatario. Si usted recibe este mensaje por error o no es el destinatario
del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así
mismo, todas las ideas y reflexiones expresadas en esta comunicación
corresponden al originador del correo y NO representa la posición oficial de
su empleador.
------------------------------------------------------------------------
----
----------------------------------------------------------
This email is intended only for the addressee(s) and contains information
which may be confidential, legally privileged. If you are not intended
recipient please do not save, forward, disclose or copy the content of this
email. Please delete it completely from your system and notify
originator.Finally, all ideas expressed in this communication are personal
comments and NOT represent official position of his employer.
------------------------------------------------------------------------
----
----------------------------------------------------------

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.1 (MingW32)
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=Mnmw
-----END PGP PUBLIC KEY BLOCK-----

-----Mensaje original-----
De: Isaac Perez [mailto:suscripcions (at) tsolucio (dot) com [email concealed]]
Enviado el: Miércoles, 22 de Febrero de 2006 09:05 a.m.
Para: Anatoly Alexei Pedemonte Ku
CC: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Re: Consulta Reto Forense III...

No creo que se pueda arrancar en un vmware, ya que es una imagen de un disco
ya instalado.
Pero lo que si se puede hacer es gravar la imagen en un disco y despues
arrancar ese disco.
Con dd por ejemplo.
Supongo que eso sera necesario para lo del reto forense, arrancar el
operativo, no solo ver los ficheros.

En/na Anatoly Alexei Pedemonte Ku ha escrit:
> La pregunta es sobre la imagen, que me deja dudas al repecto segun las
> consultas que me hacen llegar...
>
> Hasta ahora existe una forma de hacerlo en linux, xBSD con [mount -o
> loop -t ntfs /dev/hdax /data/win] o algo aproximado tambien pude ver
> la informacion de la imagen en windows con FTK imager...pero no
> montarlo como una unidad.
>
> Alguien de Uds, ha podido incluir o montar la imagen como una unidad
> virtual en windows o un emulador como VMware o afin, exista manera de
> hacerlo???
>
> Hago la consulta por que muchos me preguntan sobre esto??? y yo solo
> indico hacerlo en un linux o unix, ya sea mediante un live CD o una
> distribucion standalone de algun clon de unix.
>
> Desde ya agradesco sus comentarios
>
> -----------------------------------------------------------
> Anatoly Alexei Pedemonte Ku
> RAGE SYSTEMS S.A.C.
> http://www.ragesys.net <http://www.ragesys.net/> Av. Juan Pascal
> Pringles 1225 (ex- La Fontana)
> Teléfono: 511.3482883
> Móvil: 511.97167435
> -----------------------------------------------------------
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.1 (MingW32)
>
> mQGiBEP74n4RBACWbWMwp0mlBGkv+VsER3gvmt2Y7UmiuDRapL6W2fJkRAiZSNyG
> GmQlnnC82G0xyQ2raKRaHyXpL5bx6mP6zoM9ws3xQgLSXN9xepHBBMKxktrsOkmt
> wU9fO0j969iE48g2U+T0M3VK9M63d8jVplKJPYSX3d8MSPmCNdznf+6RawCgzEqO
> 4rtw5qpjsHgpYhfcU67LR1UD/09sgy4NppYkDSIYJhcAJGKOBYT5ap9/u6BbRme2
> XV6fzni7/ZyeA+rLsPL2VR9KLDirGCZR0tbUA07tcY8eWqh1yugGXxFA66XH7/Hw
> ULi8yEZCHRtx9VFWuUK72SB5yFD8tWS7v2kNElMQ7PtXitSSvkVKgR6HEVA0m77Y
> HmbgA/0WE8QrDKdQM8QxqzsIm+o2IaJ32WHrAZXCyueK29LGDpiQ/+n6xQ+naNo6
> eXxvRLgZgwkf8CABuzPDBNc0vVz7Bgh2Bv2mUevYiVVT7yqqRDtHNM06CztbRz4a
> +oHN0UyyW9pLGw9ImvKHIWlmkc2pCvRzecHMqHT/aUasohco0bQ/QW5hdG9seSBB
> LiBQZWRlbW9udGUgS3UgKEdOVSBQR1AgQW5hdG9seSkgPGFuYXRvbHlAcmFnZXN5
> cy5uZXQ+iF8EExECACAFAkP74n4CGwMGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAK
> CRDl44NRz+awqjn6AJikjCHB8OG2d1hyMzZBpDfJwG9DAJ9pG2mkTsUso3HOAkij
> KlnND+5OHbkCDQRD++KXEAgAvR6UmL6ZjGKLd1yUT/C5aR0eKlHEi0yO73fMBxt+
> Lwow28qzBKHrMVGnMRQOl3KgDqVH2OU2fqcLaybqHsE02cwS2IhtzsB/Xi6WyS4q
> GYaAGnEbJ7FRIDAAHoc07EWXkzVmNBw/P1Xnj21dAE1VuH28lBwKeuBy19C44wbi
> /BzvntzmMTa1PqloubiGauXVbkRmBc6Dn9qHeqoipQvbVyQTimvAH9RaCzehD8WE
> W8INRZkPM7R87FGXW2h3+29qVMBxsUU85oLmiUMlR5kqJKcU8h/vhrPq7qa0hudh
> wMllE/SOIqa1sVxbIOk5xEV36kbFqXlfb3JXSEngpbre7wADBQf/ZL6o/IpOXOHp
> St4aO8NgPrWD+NZLNug9sccqYnlWVGMBH3CjiSUFFNC+hoXjecW4YMh6NUBXbkKX
> etDSgrxCc07DSSQ9f5hYB5tP5Sov+j4PJp44iV0uYS7kfugAwWDIkSJJVMv0UIb+
> Elf0Ss0VxjmqIv92wDE+XVCEB342DhuhUt8HUmVYVihC0N7pJCEqPGfWgxBZA5nm
> loLIAfl8qb1D/FCPvb9Yfj9qn5hTvtZYjgbh1a8awOiodwaPrUP4bTdY/SRKFKBP
> 0txyJn5h345GZ2zpfGYleEYnVPRZm57/WM5SsPhZ1OoO5imMl7qVsosSSVFGcL17
> ZNVqqJOH0IhJBBgRAgAJBQJD++KXAhsMAAoJEOXjg1HP5rCqFOoAnRO+jqkCfn/H
> UquknQh/MK9K3+H9AKCciBqvAWaVQ6O5Ek2EEaMlRuGdJw==
> =Mnmw
> -----END PGP PUBLIC KEY BLOCK-----
>

__________ NOD32 1.1414 (20060220) Information __________

This message was checked by NOD32 antivirus system.
part000.txt - is OK

http://www.eset.com

0? *?H?÷
 ?0?1 0 +0? *?H?÷
 ?
F0?N0?· 0
 *?H?÷
0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net0 [email concealed]
060219001801Z
160219001801Z0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net0 [email concealed]?0
 *?H?÷
0?¬¢ÝÍ!iã,òl?]ä(M8´á$ ?Iâ¼|?Ö?hÜÔçvÌ?Ó/ bý¦¼µt=À}?Ö? ¥*«jIÇ5O6Q\¶«±Z½$ìå¿?ö%?«2X¼Q?g?ªE;¸9h,çOÅTGÀ¸zW4.ê
6þm?¹lä¿2+£?<0?80 U0ÿ0 U0 `?H?øB0Uh??kc?ÜÏë½¢ÿ²öS0U0soporte@ragesy
s.net0EU>0<0: 8 6?4http://mail.coopergay-peru.com/phpki/cacrl/cacrl
.crl0A `?H?øB
42PHPki/OpenSSL Generated Root Certificate Authority0? `?H?øB20http://mail.coopergay-peru.com/phpki/policy.html0
 *?H?÷
)D±Q¬|Ö*???E©Ë
?Ä7Çp4?ÛFe®+?NÜßåÞ¶\V@®"÷H!<å\vì²¥"Éâú;ì?¤ö¡ пæ2ñ¯&ïª]?øÜåï7Q·??/i' dÝæ?×Jo¢/t¾´{- î:w(|Ê'òÿéQ?ív 0?ð0?Y 0
 *?H?÷
0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net0 [email concealed]
060219003144Z
070219003144Z0Ö1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1)0'U
 c21f969b5f03d33d43e04f8f136e768210U Security1$0"UAnatoly Alexei Pedemonte Ku1"0  *?H?÷
 anatoly (at) ragesys (dot) net0 [email concealed]?0
 *?H?÷
0?ÈË?Ùg¨[²?öC R?àÙ?oÕÔ/àç
%:?R̯£Þ?¼XËã?É{Hü¨$Îv]îsÅ?\o
Lv¢)µ?<w³+ù'Ð/XcO®M?éPrÃDIG?{°¤ý%ñ=?
ZÜÙoß3¿?ã@»°lTµu??`yS£?Ò0?Î0 U00 `?H?øB 0Uÿà0U%0++0U
T°Á÷ÀwÀk¶ÞH?JM<Á2è0ùU#ñ0î?h??kc?ÜÏë½¢ÿ²öS¡Ò¤Ï0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net [email concealed]?0U0anatoly (at) ragesys (dot) net0 [email concealed]U0sop
orte (at) ragesys (dot) net0 [email concealed]KUD0B0@ > <?:http://mail.coopergay-peru.com/phpki/
cacrl/hrcsb_cacrl.crl0; `?H?øB
.,PHPki/OpenSSL Generated Personal Certificate04 `?H?øB'%http://mail.coopergay-peru.com/phpki/0# `?H?øBns_revoke_query.php?0? `?H?øB20http://mail.coopergay-peru.com/phpki/policy.html0
 *?H?÷
;môn¤ì©-·¾Î< ªXQð.?Æ­÷ø2Ñ=«õ¶?v5)÷Æ?ÙӁ«ÜÆKj·¾+¦2â+(?å{¦3=?¬~Ã?²o°*6?!¢ª±DJµu
TQÉCL??Iê<Áu^{ðø¾?ô?åÇd.äå-¡xóÔ¬°?1?0?0Ô0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net [email concealed]0 + ??0 *?H?÷
 1  *?H?÷
0 *?H?÷
 1
060222175812Z0# *?H?÷
 1¦?­q
?9<Û Ë?Ò$ö^0g *?H?÷
 1Z0X0
*?H?÷
0*?H?÷
?0
*?H?÷
@0+0
*?H?÷
(0+0
*?H?÷
0å +?71×0Ô0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net [email concealed]0ç *?H?÷
  1× Ô0Ì1 0 UPE10U LA MOLINA1
0 ULIMA10U
RAGE SYSTEMS S.A.C.1+0)U "RAGE SYSTEMS Certificate Authority1+0)U"RAGE SYSTEMS Certificate Authority1"0  *?H?÷
 soporte (at) ragesys (dot) net [email concealed]0
 *?H?÷
?2¿bL<¸Rè?²?*Äø?ªÆ?(1?¤R?ã?Ýß¹â·Ü.??¬hâ,näÕÏjØä]ÐSLãø?þç¨þ\Õ??
? íb??ô¢AÖ Ôý&??ÿðøû¼9ü4Þ&gñ??qm ?ãà?ã¯??? =?ñ)nú*ãW«d?ÿ

[ reply ]
Re: Consulta Reto Forense III... Feb 22 2006 12:13PM
ALEXANDRE RIBOT (aribot gmail com)
Re: Consulta Reto Forense III... Feb 22 2006 08:30AM
Mario de Frutos Dieguez (marfru cartif es)


 

Privacy Statement
Copyright 2010, SecurityFocus