Forensics in Spanish
Registro de Archivos Aug 19 2006 01:41AM
José Luis Ríos Haro (jrios cosapidata com pe) (2 replies)
Re: Registro de Archivos Aug 19 2006 02:15PM
Gonzalo Asensio Asensio (gonzalo seguridadeninternet es)
Re: Registro de Archivos Aug 19 2006 01:57PM
Gonzalo Asensio Asensio (gonzaloaa gmail com) (1 replies)
RE: Registro de Archivos Sep 15 2006 08:15AM
Jesus D. Muñoz (jdmunoz itdeusto com) (1 replies)
Hola,

Además de tener en cuenta la magnifica herramienta recomendada por Gonzalo,
puedes probar con mactime, dentro del sleuthkit
(http://www.sleuthkit.org/sleuthkit/)

Ganarás en automatización de la tarea, ya que te lo saca bastante
?parseable?. Este programa tambien puede ser lanzado desde el menú ?Create
TimeLine? de autopsy, que se puede bajar desde la misma web.

Un Saludo,

--

Jesus D. Muñoz Largo
Email: jdmunoz (at) itdeusto (dot) com [email concealed] - PGP-ID:0x84EF62EC
ITDeusto S.A, Division de Seguridad.
Valentín Beato 22. 28037. Madrid
Tlf: +34 91 309 86 00 ext. 2073 | Fax: +34 91 729 14 14

==
ADVERTENCIA:
ESTE CORREO ELECTRÓNICO CONTIENE INFORMACIÓN PRIVADA Y ESTRICTAMENTE
CONFIDENCIAL. Si usted no es el destinatario del presente mensaje no está
autorizado a leerlo, retenerlo o difundirlo.
==

_____

De: Gonzalo Asensio Asensio [mailto:gonzaloaa (at) gmail (dot) com [email concealed]]
Enviado el: sábado, 19 de agosto de 2006 15:57
Para: José Luis Ríos Haro
CC: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Re: Registro de Archivos

Hola,

Prueba con TESTDISK, sirve para muchisimos tipo de sistemas de ficheros
(fat,ntfs,ext2,ext3,etc).

http://www.cgsecurity.org/wiki/TestDisk

Un saludo y espero que te sirva.

--
Gonzalo Asensio Asensio
Analista de Seguridad Informática (IT-Deusto)
Jefe de Proyecto en Telefónica de España
Tlf:+34 91 594 8262
Móvil: 659 43 43 33
E-mail:gonzalo (at) seguridadeninternet (dot) es [email concealed]
Web: www.seguridadeninternet.es

El día 19/08/06, José Luis Ríos Haro <jrios (at) cosapidata.com (dot) pe [email concealed]> escribió:

Estimados:

Necesito acceder a un registro de los archivos eliminados en un servidor
Windows en un período de tiempo determinado con una herramienta free o
procedimiento manual. Espero me puedan dar una mano. Gracias.

JR

--
Este mensaje ha sido analizado por ITDeustoProtect
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
-
This message has been scanned for viruses and
dangerous content by ITDeustoProtect, and is
believed to be clean.

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
h1
{margin-top:0cm;
margin-right:0cm;
margin-bottom:3.0pt;
margin-left:21.6pt;
text-indent:-21.6pt;
page-break-after:avoid;
mso-list:l0 level1 lfo5;
font-size:18.0pt;
font-family:Arial;
font-weight:bold;}
p.MsoHeader, li.MsoHeader, div.MsoHeader
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
p.MsoFooter, li.MsoFooter, div.MsoFooter
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
p.MsoCaption, li.MsoCaption, div.MsoCaption
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:blue;
text-decoration:underline;}
p
{mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman";}
span.EstiloCorreo23
{mso-style-type:personal-reply;
font-family:Arial;
color:navy;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:761075444;
mso-list-template-ids:-1815319458;}
@list l0:level1
{mso-level-style-link:"Título 1";
mso-level-text:%1;
mso-level-tab-stop:21.6pt;
mso-level-number-position:left;
margin-left:21.6pt;
text-indent:-21.6pt;}
@list l0:level2
{mso-level-text:"%1\.%2";
mso-level-tab-stop:28.8pt;
mso-level-number-position:left;
margin-left:28.8pt;
text-indent:-28.8pt;}
@list l0:level3
{mso-level-text:"%1\.%2\.%3";
mso-level-tab-stop:36.0pt;
mso-level-number-position:left;
margin-left:36.0pt;
text-indent:-36.0pt;}
@list l0:level4
{mso-level-text:"%1\.%2\.%3\.%4";
mso-level-tab-stop:43.2pt;
mso-level-number-position:left;
margin-left:43.2pt;
text-indent:-43.2pt;}
@list l0:level5
{mso-level-text:"%1\.%2\.%3\.%4\.%5";
mso-level-tab-stop:50.4pt;
mso-level-number-position:left;
margin-left:50.4pt;
text-indent:-50.4pt;}
@list l0:level6
{mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6";
mso-level-tab-stop:57.6pt;
mso-level-number-position:left;
margin-left:57.6pt;
text-indent:-57.6pt;}
@list l0:level7
{mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7";
mso-level-tab-stop:64.8pt;
mso-level-number-position:left;
margin-left:64.8pt;
text-indent:-64.8pt;}
@list l0:level8
{mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7\.%8";
mso-level-tab-stop:72.0pt;
mso-level-number-position:left;
margin-left:72.0pt;
text-indent:-72.0pt;}
@list l0:level9
{mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7\.%8\.%9";
mso-level-tab-stop:79.2pt;
mso-level-number-position:left;
margin-left:79.2pt;
text-indent:-79.2pt;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
-->
</style>

</head>

<body lang=ES link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Hola,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Además de tener en cuenta la magnifica
herramienta recomendada por Gonzalo, puedes probar con mactime, dentro del sleuthkit</span></font>
(<a href="http://www.sleuthkit.org/sleuthkit/">http://www.sleuthkit.org/sleu
thkit/</a>)<o:p></o:p></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Ganarás en automatización de la tarea, ya que te lo saca bastante “parseable”.
Este programa tambien puede ser lanzado desde el menú “Create TimeLine”
de autopsy, que se puede bajar desde la misma web.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Un Saludo,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<div>

<p><font size=2 color=navy face="Times New Roman"><span style='font-size:10.0pt;
color:navy'>--<br>
<br>
Jesus D. Muñoz Largo<br>
 Email: jdmunoz (at) itdeusto (dot) com [email concealed] - PGP-ID:0x84EF62EC<br>
 ITDeusto S.A, Division de Seguridad.<br>
 Valentín Beato 22. 28037. Madrid<br>
 Tlf: +34 91 309 86 00 ext. 2073 | Fax: +34 91 729 14 14<br>
<br>
<br>
==<br>
ADVERTENCIA:<br>
ESTE CORREO ELECTRÓNICO CONTIENE INFORMACIÓN PRIVADA Y ESTRICTAMENTE<br>
CONFIDENCIAL. Si usted no es el destinatario del presente mensaje no está<br>
autorizado a leerlo, retenerlo o difundirlo.<br>
==<br>
 </span></font><font color=navy><span style='color:navy'> </span></font><o:p></o:p></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> Gonzalo Asensio
Asensio [mailto:gonzaloaa (at) gmail (dot) com [email concealed]] <br>
<b><span style='font-weight:bold'>Enviado el:</span></b> sábado, 19 de agosto
de 2006 15:57<br>
<b><span style='font-weight:bold'>Para:</span></b> José Luis Ríos Haro<br>
<b><span style='font-weight:bold'>CC:</span></b> forensics-es (at) securityfocus (dot) com [email concealed]<br>
<b><span style='font-weight:bold'>Asunto:</span></b> Re: Registro de Archivos</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Hola, <br>
<br>
Prueba con TESTDISK, sirve para muchisimos tipo de sistemas de ficheros
(fat,ntfs,ext2,ext3,etc).<br>
<br>
<a href="http://www.cgsecurity.org/wiki/TestDisk">http://www.cgsecurity.org
/wiki/TestDisk</a><br>
<br>
Un saludo y espero que te sirva. <br>
<br>
-- <br>
Gonzalo Asensio Asensio<br>
Analista de Seguridad Informática (IT-Deusto)<br>
Jefe de Proyecto en Telefónica de España<br>
Tlf:+34 91 594 8262<br>
Móvil: 659 43 43 33<br>
<a href="mailto:E-mail:gonzalo (at) seguridadeninternet (dot) es [email concealed]">E-mail:gonzalo@segur
idadeninternet.es</a><br>
Web: <a href="http://www.seguridadeninternet.es">www.seguridadeninternet.es</a><
o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><span class=gmailquote><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>El día 19/08/06, <b><span style='font-weight:bold'>José
Luis Ríos Haro </span></b><<a href="mailto:jrios (at) cosapidata.com (dot) pe [email concealed]">jrios (at) cosapidata.com (dot) pe [email concealed]</a>>
escribió:</span></font></span><o:p></o:p></p>

<div>

<div link=blue vlink=purple>

<div>

<p><font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>Estimados:</span></font><o:p>
</o:p></p>

<p><font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'> 
Necesito acceder a un registro de los archivos eliminados en un servidor
Windows en un período de tiempo determinado con una herramienta free o
procedimiento manual. Espero me puedan dar una mano. Gracias.</span></font><o:p></o:p></p>

<p><font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>JR</span></font><o:p></o:p></
p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'> <o:p></o:p></span></font></p>

</div>

</div>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
<br clear=all>
<br>
<br>
<br>
-- <br>
Este mensaje ha sido analizado por <b><span style='font-weight:bold'>ITDeustoProtect</span></b>
<br>
en busca de virus y otros contenidos peligrosos, <br>
y se considera que está limpio. <br>
- <br>
This message has been scanned for viruses and <br>
dangerous content by <b><span style='font-weight:bold'>ITDeustoProtect</span></b>,
and is <br>
believed to be clean. <o:p></o:p></span></font></p>

</div>

</body>

</html>
BEGIN:VCARD
VERSION:2.1
N:Muñoz Largo;Jesus D.
FN:Jesus D. Muñoz Largo
ORG:ITDeusto
TITLE:Linea de seguridad
TEL;WORK;VOICE:+34 913098600 x 2073
TEL;CELL;VOICE:+34 661 854 593
ADR;WORK:;;Valentín Beato 22;Madrid;Madrid;28037;España
LABEL;WORK;ENCODING=QUOTED-PRINTABLE:Valent=EDn Beato 22=0D=0AMadrid, Madrid 28037=0D=0AEspa=F1a
EMAIL;PREF;INTERNET:jdmunoz (at) itdeusto (dot) com [email concealed]
REV:20060420T093759Z
END:VCARD

[ reply ]
RE: Registro de Archivos Sep 15 2006 03:17PM
Reinaldo N. Mayol Arnao (mayol ula ve)


 

Privacy Statement
Copyright 2010, SecurityFocus