Archivo de la categoría: Aplicaciones

Malware en la partición de arranque

Aplicaciones necesarias:

dd.exe lo podemos encontrar en –> http://sourceforge.net/projects/unxutils/files/
mbrparser –>http://www.garykessler.net/software/index.html
Interprete de perl que tendremos que instalar –>http://strawberryperl.com/

Aquí podemos ver un ejemplo de MBR que va ser parecido al que vamos a sacar pero no igual, veremos en el post las diferencias–>http://thedigitalstandard.blogspot.com.es/2011/07/mbr-analysis.html

dd.exe–> Si tenemos una conexión un poco limitada o queremos ir al grano dd.exe tambien lo podemos decargar de aquí: http://www.chrysocome.net/dd
ademas nos proporciona varios ejemplo de como usarlo, es un comando heredado de Unix, tenemos información de las unxutils y de dd.exe en nuestra web favorita: http://en.wikipedia.org/wiki/UnxUtils y aquí: http://en.wikipedia.org/wiki/Dd_%28Unix%29

(podeís ir descargando las utilidades, el post continuará cuando tenga más tiempo 🙂 )

Y sobre todo ir leyendo y entendiendo este enlace –> http://thestarman.pcministry.com/asm/mbr/W7MBR.htm sin este enlace no podríamos escribir este post.

En un sistema operativo tenermos este esquema de arranque:
MBR3
Es decir 512 bytes dedicados al MBR (Master Boot Record) quien no lo perdio alguna vez en su S.O.??
El MBR esta compuesto como vemos en la imagen por:
1-Master Partition Table
2-Master Boot Code donde esta el bootloader en W7.
En el segundo están todo el código ensamblador que va necesitar la Bios para cargar la particion de arranque y por lo tanto la carga del S.O.
El primero nos indica unicamente la estructura de las particiones y debido a esos pocos 64 bytes, no podemos hacer más de cuatro particiones. Todo cambia con los nuevos sistemas EFI de Intel que estan compuestos por más bytes y por lo tanto mas particiones, al dejar de usar MBR y usar GPT basado en GUID.
El magic number de la imagen es la firma para el MBR cuyo termino original es BOOT RECORD SIGNATURE y hace que termine la tabla de particiones con un código hexadecimal 55AA.
Hay algunos virus como el MBRLocker que podeis descargar y hacer una prueba en una máquina virtual y veréis como modifican los valores del MBR.
Lo ideal es tener en algún sitio una copia del MBR, ya que podéis estar pensando en recuperar el MBR con alguna aplicación, pero pensar que os va salir el virus antes que la carga y la forma de eliminación que vais a elegir va dejar parte del virus en una parte que todavía no comentamos.
MBR4
ESte MBR se aloja por norma general en el sector 1 que ocupa esos 512 bytes que pueden tener espacio libre suficiente para alojarse un malware hasta llegar al sector 63 donde ya se coloca la particion NTFS (es decir esta vacio del 2 al 62) aunque en W7 no tengo del todo claro que empiece en el 63 la partición NTFS, puede ser que empiece ahí pero también este vacio hasta avanzar unos cuantos sectores, más información de la mitad de esta web en adelante: http://thestarman.pcministry.com/asm/mbr/W7MBR.htm
Una práctica para curarnos en salud es hacer una copia del MBR con el comando:
dd if=\\.\PhysicalDrive0 of=Tabla64.txt count=64
rawwrite dd for windows version 0.6beta3.
Written by John Newbigin
This program is covered by terms of the GPL Version 2.

64+0 records in
64+0 records out

La consola de cmd.exe debería estar como administrador:
ddSinpermisos
😦
Así la hacemos de todos los sectores incluso los vacios que estan reservados para datos del MBR, para no solo machacar los 512bytes del mbr sino todos los anteriores ya que el malware puede estar por todos y aunque lo limpiemos pueden quedar trozos que pueden volver a regenerarse mediante un rootkit.
Para recuperar el backup en caso de desastre tenemos que arrancar desde algún live y poner desde una consola dd if=Tabla64.txt of=\\.\PhysicalDrive0 count=64
Ahora debemos visualizar el fichero que ya hemos creado y guardado en un sitio seguro fuera del sistema:
En la consola de ms-dos:
c:\mbrparser_v1.5\mbrparser.pl -i tabla64.txt
La aplicaciones mbrparser.pl esta en mi caso en una carpeta que se llama mbrparser_v1.5 por eso le doy esa ruta desde c:\
Puede ser que no funcione y necesitemos instalar el interprete de perl que os puse arriba en las descargas el strawberry, este instala el perl.exe dejando el path a c:\windows\system32\cmd.exe y por lo tanto para ejecutarlo no necesitamos darle la ruta de instalación para llegar al perl.exe
asi que desde msdos podemos decir lo siguiente:
C:\Aplicaciones>perl.exe mbrparser_v1.5\mbrparser.pl -i tabla64.txt
Y nos devolvera algo como esto:
ddbeta6

Vemos que en mi PC solo hay una particion y además esta con LBA no marca nada en el Boot Flag ni el CHS(cilinder head sector) porque esta pasado de moda 🙂 ahora se lleva el LBA que lo podeis ver más abajo.
El sector 63 como límite del mbr y el texto que nos suele salir si no encuentra el sistema operativo a la derecha en amarillo, si usamos la aplicación gratuita hexedit.exe por ejemplo desde ms-dos:C:\Aplicaciones>hexedit.exe tabla64.txt –> nos devolvera una pantalla tal cuál:
hex
Nos muestra los 63 sectores que hemos copiado en tabla64.txt, he bajado un poco en el scroll para que veáis como después del 1 empiezan a estar vacios es más el 55AA del que hablabamos el numero mágico marca el final de la firma del MBR y las particiones.
Seguro que unos cuantas de los que leis esto alguna vez habéis ejecutado en ms-dos:
BOOTREC /FIXMBR y BOOTREC /FIXBOOT arrancando con vuestro dvd o iso del w7 original y seleccionando reparar y luego la linea de comandos.
Fixmbr solo sirve para limpiar los 466 bytes del bootloader y fixbott arregla el boot.ini por lo tanto ninguno arregla la estructura de las particiones los 64 bytes del partition table y mucho menos borran nada de los otros sectores vacios si ahora están ocupados, necesitamos nuestro fichero de backup del mbr.
También podemos usar las Hiren Boot y comprobar que efectivamente no quedan restos del malware, aqui tenéis un tutorial:

Si usamos la aplicación Hex Workshop (es de pago pero pordemos usar la version de prueba de su sitio oficial)
podemos ver el primer sector después del 63 que contiene ya la partición de NTFS no la de MBR.
Para ello pinchamos en la barra de menú en Disk y después open drive, a continuación elegimos C: y no abre este sector. Podemos con las flechas azules movernos por los sectores. Fijaros que el texto es distinto dice falta bootmgr para esto si que seriviría el FIXBOOT de antes.
Teneís más información detallada de como calcular las particiones en hexadecimal o que quiere decir ese ensamblador aqui:
http://blog.creativeitp.com/posts-and-articles/bios/analysing-the-master-boot-record-mbr-with-a-hex-editor-hex-workshop/
No estoy con una máquina virtual así que no infecto el MBR pero podéis ver el resultado en el video. Sale en Ruso porque la aplicación que lo genera tiene el mensaje en ese idioma pero es del todo modificable en ese caso.
Ya sabéis un poquito más.
Saludos.

Anuncios

Feliz 2013

Feliz 2013

Windows 2012 puede pausar y resumir, despues copiar y borrar

En Windows Server 2012 y Windows 8 podemos hacer una pausa y reanudar cortando, copiando o borrando las operaciones. ¿No es bonito?

Ahora tenemos otra característica más, se enumeran todas las tareas que se ejecutan en una sola ventana en lugar de varias ventanas. Ya era hora.

Compartir tu escritorio

En muchas ocasiones, tenemos la necesidad de compartir nuestro escritorio, por razones muy variadas.

Un ejemplo clásico es para mostrar algún producto al cliente o una presentación de diapositivas a un amigo de la Universidad; lo cierto es que no hay muchas opciones rápidas para esto; siempre hay que instalar un software o registrarse en un sitio.

ScreenLeap, un servicio web totalmente gratuito que ofrece un entorno amigable al usuario. Disponible sólo en inglés; este servicio permite compartir el escritorio con cualquier usuario que queramos.

ScreenLeap no requiere de algún registro ni de instalar cierta aplicación para su ejecución, por lo cual, el uso es muy sencillo. Simplemente hacemos clic en ‘Share your screen now’ momento en el que te indicará una URL que es la que vas a usar para compartir tu escritorio. Cuando quieras que otra persona vea lo que sucede en tu escritorio simplemente le darás dicha URL para que así sea.

ScreenLeap necesita de la última versión de Flash para funcionar correctamente, así que les recomiendo la actualicen antes de intentar probar. y la ejecucion de Java sera lo unico que no preguntara para entrar en acción.

 

Enlace: ScreenLeap

145 servicios web gratuitos y alternativos

Os invitamos a visitar:
http://libreprojects.net/

Publicamos este interesante enlace enviado por Edu (muy buen partido) del curso de tarde.

“Core Temp” Controla la temperatura de los nucleos de tu procesador.

Core Temp, es un pequeño y liviano programa gratuito, que muestra en tiempo real, las temperaturas de los núcleos del procesador.
El programa, toma las mediciones desde el DTS (Digital Thermal Sensor), de ésta forma es mucho más preciso que las lecturas de los sensores del modo estándard del diodo térmico.

Core Temp 1.0 RC3, está disponible para los sistemas operativos Windows 2003 Server, 2008, XP, Vista y Windows 7 (32 y 64 bits).

Cabe destacar, que ahora el programa soporta de forma nativa la adición de más idiomas que el inglés (multilingue), también han lanzado una aplicación para Android para controlar los pc´s desde cualquier lugar y se añade soporte para Intel Pentium y AMD K5 y los nuevos procesadores (sólo en modo detección de temperatura por Thermalzones o ACPI).
Incluso podemos exportar a un archivo las temperaturas encontradas por el programa y trasladarlas a una hoja de datos Excel, para compararlas más adelantes con otras mediciones.

A Disfrutarlos amigos.
Descargar Core Temp

¡5 programas para identificar y abrir ficheros!

O bien porque lo descargamos hace tiempo y no sabemos de que se trata, o directamente desconocemos la extensión, puede que en ocasiones nos encontremos con determinados ficheros los cuales no sabemos muy bien como abrir. El nombre del mismo puede ser irrelevante, ya que lo que realmente importa es el contenido, el cual suele no poder ser tan facil de identificar a no ser que tengamos la utilidad correcta.

Una imagen se convierte en un cúmulo de caracteres sin sentido si, al no saber qué utilizar, lo abrimos con el bloc de notas. La mejor idea sería sin duda abrir hexadecimalmente el archivo, y así tratar de leer la cabecera del mismo. Y eso es precisamente lo que hacen los 5 programas para identificar ficheros que he recopilado para la sección de Utilidades de esta semana.

Free Opener

Se trata de una aplicación que soporta más de 80 formatos diferentes de todo tipo. Desde documentos ofimáticos a arhivos multimedia pasando por gráficos o incluso archivos ejecutables y de email. Free Opener utiliza las rutinas de .NET Framework para leer no sólo las cabeceras, sino otras partes de los ficheros, y tratar de identificar así de que se trata.

Su descarga es gratuita y en la página web se pueden encontrar los formatos que puede identificar ordenados en categorías:

Archivos de código
Archivos de PhotoShop y de imagen
Documentos de Microsoft Office
Imágenes RAW
Archivos comprimidos

Universal Viewer

Tal vez el más conocicido de la lista. Lleva bastante tiempo en el mercado, y se distribuye de manera gratuita. Estamos ante un programa que no sólo permite identificar un amplio rango de formatos, sino que, como su propio nombre indica, nos permite abrirlos y disfrutarlos de una manera competente. Imágenes, documentos ofimáticos o archivos multimedia.

También existe una versión pro que promete identificar más archivos, y que es de pago. Afortunadamente se puede disfrutar como shareware, es decir, probarla gratuitamente durante 15 días para más tarde comprarla o seguir con la versión estándar.

Free File Opener

Muy similar a Free Opener, no sólo en el nombre, sino en interfaz y funcionamiento. En este caso podemos abrir hasta 200 ficheros, y lo bueno o malo según se mire es que la utilidad se centra en abrir los ficheros. Un programa para abrir más de 200 tipos, incluyendo también archivos de Microsoft Office, aunque esta vez no necesitaremos siquiera la suite de Microsoft para verlos. Se puede decir que Free File Opener es un visor universal de archivos.

Agraciado con diversos premios a lo largo de sus diferentes versiones, se trata de una muy buena idea para todos aquellos que no necesiten por ejemplo trabajar con archivos gráficos, multimedia u ofimáticos, pero si visualizarlos en diversas ocasiones. Personalmente no lo conocía, pero me ha parecido una muy buena idea, y no puedo dejar de recomendaros que le echéis un vistazo.

Open Freely

Otra alternativa gratuita. Con Open Freely podemos abrir y editar documentos independientemente de si sabemos o no que tipo de contenido tienen. Si se trata de un formato soportado por la aplicación, podremos hacerlo. Además de abrir documentos, también podremos descomprimirlos en caso de que sea una archivos ZIP. De hecho, la lista de formatos indica que podemos abrir hasta 8 tipos diferentes de archivos comprimidos.

Open Freely también esta dotado de características avanzadas de impresión con las que podremos obtener versión impresa para archivos Word. El soporte es hasta la última versión de Office, y por supuesto podemos abrir tanto archivos .doc como .docx o incluso archivos de Excel, PowerPoint o PDF.

Filesee

Herramienta todo en uno que permite abrir un buen puñado de archivos bajo una única interfaz. Se trata de la utilidad más rápida para ver los archivos de manera sencilla, y para ello usa una combinación de exploración, donde veremos carpetas y archivos ordenados jerárquicamente, y de visor, en la parte derecha, donde se mostrarán sus contenidos.

Muy similar al clásico Explorer de Windows, se trata de una aplicación shareware que podremos probar gratuitamente durante 30 días. La última versión salió hace apenas un mes, y promete aumentar la lista de formatos soportados. Definitivamente, una buena idea a la hora de abrir ese archivo cuyo formato no conocemos.

Fuente: Bitelia.

Encoding Decoding Free (Protección de Ficheros con Password)

Proteger archivos en Windows es una tarea muy importante.
Lo cierto es que existen muchas opciones y aplicaciones varias para esta funcionalidad, y entre esas esta Encoding Decoding que se trata de un buen programa gratuito que cumple con esta función.

Dicho programa, está disponible en varias lenguas, incluyendo español y como se puede observar en la captura de pantalla anterior, es bastante sencilla su interfaz.
Gusta, porque es fácil de usar, ya que se limita a un clic en el botón para hacer proceso.

Lo que tienes que hacer para encriptar, o proteger con contraseña un archivo es un clic, en el botón o icono principal del software, para que se abra una ventana donde escoges el mismo:

Y una vez que seleccionas tu archivo procedes a escoger la contraseña donde te indica el nivel de seguridad de la misma. Mientras más caracteres especiales tenga (!$*[:_) mayor seguridad tiene:

Y listo ya tenemos nuestros archivos protegidos.

Reset Windows Password

Reset Windows Password es un CD de arranque diseñado para permitirte restablecer contraseñas de usuario y administrador locales en tu sistema.
Obtén instantáneamente acceso al sistema si has olvidado la contraseña de administrador o si la cuenta de usuario ha sido bloqueada o deshabilitada.

Reset Windows Password está diseñado para ayudar a los usuarios generales a omitir la contraseña de inicio de sesión de Windows.
“No es necesario reinstalar Windows”.

Descargar

Fuente:Win-HD

WeTransfer “Enviar archivos de hasta 2Gb a traves de la red”

A pesar del gran aumento en el tamaño soportado por las cuentas de correo electrónico para los archivos adjuntos, aún sigue siendo insuficiente para las ocasiones en que necesitamos compartir archivos muy pesados.Por suerte podemos recurrir a diversos servicios para enviar estos grandes ficheros a nuestros amigos y contactos.
Una opción más que recomendable es WeTransfer, un nuevo servicio en español que podemos utilizar de forma completamente gratuita y sin hacernos perder nuestro tiempo en registros inútiles.

Con WeTransfer podemos enviar archivos de un tamaño máximo de 2 Gb que estarán disponibles por un período de dos semanas, tiempo más que suficiente para que nuestros amigos puedan acceder al archivo que les hemos enviado.