Recuperar datos de USB con Autopsy-SleuthKit

A quién no le apasado que por andar jugando en la consola hace un rm archivo.* para borrar varios archivos con el mismo nombre pero con diferente extensión pero se olvidaron que había un archivo que no debían borrar y que se llamaba igual y ya no está!!!!! =(

Estamos que nos lleva la x!"$&$% lo digo porque me ha pasado... pero no más! =)

Les presento - para los que no lo conozcan - a Autopsy, es una interfaz gráfica para las herramientas de linea de comandos de SleuthKit, que es una colección de herramientas para el análisis forense de ordenadores.

Yo lo uso para recuperar datos de Memorias USB sobre todo, debido a que no son de gran capacidad... aunque se puede hacer con discos duros... pero necesitariamos otro de igual o mayor capacidad de almacenamiento... Autopsy lo uso en conjunto con dd (una herramienta unix que sirve para copiar datos en bruto).

para instalarlo en Debian y derivados:

#apt-get install autopsy sleuthkit

para conseguirlo desde su página oficial de Sleuth Kit:

http://www.sleuthkit.org/autopsy/

la sintaxis con la que uso dd es la siguiente:

#dd if=/dev/dispositivo of=/ruta/de/almacenamiento/archivo.dd

y así creo un fichero que contiene toda la información de una memoria usb por ejemplo.... luego sólo hago en una terminal:

#autopsy

y abro un navegador y escribo:

http://localhost:9999/autopsy

y lo demás mejor lo muestro en este video que hice.... si se ve entrecortado veanlo en YouTube.com:
http://www.youtube.com/watch?v=mk6q9kHYswA

Datos curiosos:

• Cuando borras un archivo.... no lo borras!!! XD lo que haces es borrar el índice que apuntaba al sector donde está el archivo.
• Un archivo se borra o corrompe cuando se sobreescribe otro dato en el sector donde está almacenado.
• Tomando en consideración lo anterior... si quieres recuperar datos borrados es mejor no sobreescribir nada en el dispositivo de almacenamiento hasta después de haber recuperado la información.
• Si sobreescribes antes de recuperar la información, es posible que puedas recuperar los datos, pero corruptos!

Cualquier cosa por aquí me encuentran jejeje....

Read full story

Modulo RTL8187 en Debian Squeeze kernel 2.6.27

He sufrido mucho con mi tarjeta de red usb - una Alfa 200mW - por la conexión y la transferencia de datos en mi Debian Lenny y ya estaba fastidiado en verdad...

Hasta el punto querer darle en la madre a mi tarjeta, pero no puede ser el adaptador!!!! es una chulada con el BT3, y pues dije bueno voy a probar con el nuevo Squeeze, porque prefiero estar en la rama Testing de Debian y me descargué el iso e instalé el sistema, pero sorpresa!!!! trae el kernel 2.6.26 que era el mismo que yo tenia en mi Lenny .... y como supuse, los problemas continuaban.... investigando un poco di con un nuevo parche para el kernel 2.6.27 y rapido fui a hacer un apt-cache search linux-image-2.6.27 pero no estaba el kernel... joder tengo que compilar, y no sé cómo ='(

Buscando un poco más, encontré este excelente manual hecho por Ulises Arias y después de darle una ojeada me decidí a compilar de una ves por todas... me descargué el kernel 2.6.27.21 de la página www.kernel.org y lo compilé a la Debian, sólo hago un apunte sobre lo que necesité para compilar:

build-essential
kernel-package
libncurses5-dev
libghc6-zlib-dev

y ya que quedó listo, lo instalé y reinicié... el nuevo kernel estaba funcionando

Ahora a instalar el nuevo módulo y parche!!!!! descarguense estos ficheros:

rtl8187_linux_26.1010
rtl8187_2.6.27.patch

suponiendo que los descargaron en su home... haremos lo siguiente como root:

#unzip rtl8187_linux_26.1010.zip
#mv rtl8187_2.6.27.patch rtl8187_linux_26.1010.0622.2006/
#cd rtl8187_linux_26.1010.0622.2006/
#tar xzf drv.tar.gz
#tar xzf stack.tar.gz
#patch -Np1 -i rtl8187_2.6.27.patch

si por alguna razón les marca algo como esto: "asm/semaphore.h: No such file or directory"... hagan lo siguiente:

#nano ./beta-8187/r8187.h

[ubicamos la siguiente linea]
#include <asm/semaphore.h>
[la cambiamos por]
#include <linux/semaphore.h>
[guardamos cambios y cerramos el archivo, y volvemos a aplicar el parche]

#patch -Np1 -i rtl8187_2.6.27.patch

en mi caso el modulo rtl8187 no se me cargó en el kernel si es tu caso no tomes en cuenta este paso... pero si a alguien se le carga el modulo que viene por "defecto" XD... haga lo siguiente:

#nano /etc/modprobe.d/blacklist
[hasta abajo agregue lo siguiente: blacklist rtl8187] [ahora guarden cambios y cierren el fichero, y luego en la terminal hacer lo siguiente]
#ifconfig wlan0 down
#rmmod rtl8187

ahora sólo queda instalar el módulo....

#make
#make install

listo tenemos instalado el nuevo modulo y parchado!!!!! para activar el módulo sin reiniciar hacer lo siguiente, o si lo prefieren un reboot y ya:

#modprobe r8187
#iwconfig
[y nuestra tarjeta debería aparecer]

El rato que lo llevo probando la tarjeta va muy bien, chulada!... por fin puedo escribir mis posts desde mi pc otra ves... un último screenshot:

ahora sólo espero que mi tarjeta siga así de bien!!! =)

Read full story

Back|Track 3 Intel Pro 3945ABG

Bueno hace poco un compañero quería iniciarse en esto de las "Auditorias" wireless, pero la tarjeta inalambrica de su Laptop es una intel Pro 3945 ABG (abajo la salida del lspci)y la forma para que esta tarjeta funcionara bien para las auditorías era esta:

#lspci | grep Network
0b:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG Network Connection (rev 02)
#rmmod iwl3945
#modprobe ipwraw

y de ahí lo demás queda de cada quién ;)

NOTA: de esta forma el modulo ipwraw pone en forma automática a la tarjeta en modo monitor, y no se puede cambiar a modo Managed, así que una ves obtenida la pass vuelvan a montar el modulo iwl3945.

y si por las dudas chequen esto: Crack WEP con BT3

Read full story

Instalar Back|Track 3 Personalizado en USB

Bueno pues después de una semana de 'vacaciones' y una gran semana de charlas TI en la UAM Azcapotzalco (CONSOL 2009).... vuelvo a poner una entrada, que no es muy interesante que digamos, pero estoy seguro que es de mucha utilidad...

Materiales a utilizar:

• Memoria USB de 1 Gb o mayor
• ISO Back|Track 3
• CD virgen (opcional)
• GParted o Similar
  
• Ganas =)

Conseguir el ISO

Bueno primero tenemos que conseguirnos el ISO del BT3 Final y luego lo graban en un CD... o pueden montar la imagen en algún directorio, en mi caso ya tenía el BT3 en un CD pues ya no tuve necesidad de montar la imagen...

Particionar la USB

Ahora particionaremos nuestra USB, en mi caso usé una memoria de 4Gb, y la dejé de la siguiente forma:

Particion-------------Sistema de Archivos----------Espacio
+++ 1 ++++++++++++++ FAT32 +++++++++++ 3Gb
+++ 2 ++++++++++++++ EXT3 +++++++++++ 1Gb

Bueno yo realizé el particionado con el GParted, pero pueden utilizar cualquier otra utilidad; la partición FAT32 la marqué como BOOT... en el GParted sólo hay que hacer click derecho en el volumen, luego en la parte de FLAGS seleccionamos BOOT...

Lo emocionante!!

Ahora si queremos tener nuestro BT3 traducido al Español, nos tenemos que descargar el siguiente paquete:

ftp://ftp.red.telefonica-wholesale.net/slackware/slackware-12.1/slackware/kdei/kde-i18n-es-3.5.9-noarch-1.tgz

Ahora nos descargamos el syslinux (no opcional, por lo menos en esta guía XD):

http://www.kernel.org/pub/linux/utils/boot/syslinux/syslinux-3.63.zip

Bien ahora que ya tenemos todo lo necesario, copiamos el syslinux y el paquete KDE a la partición FAT32 de nuestra memoria, ahora vamos a preparar nuestro equipo, hay que extraer todos los dispositivos de almacenamiento extraible (la USB), sólo por comodidad, ahora pasamos a insertar el CD de BT3 y a reiniciar para que cargue el LiveCD, esperamos y una ves dentro de la LiveSession montamos nuestra USB y copiamos los dos archivos anteriores al home de nuestra live session, instalamos el paquete de KDE de la siguiente forma:

#installpkg kde-i18n-es-3.5.9-noarch-1.tgz

y hacemos un Logout para que se apliquen correctamente todos los cambios, ya que se vulve a Logear la sesión, podemos personalizar todo lo que queramos, cambiar el wallpaper, la barra de tareas, etc..... y también hay que extraer la USB y volverla a insertar pero SIN MONTARLA, ahora pasamos a extraer el syslinux-3.63.zip y accedemos al siguiente directorio (Yo lo extraje en el directorio /root):

#cd /root/syslinux-3.63/mbr
#cat mbr.bin > /dev/sda [en mi caso es sda la USB, verifiquen la ruta ustedes]
#/root/syslinux-3.63/unix/syslinux /dev/sda1

ahora borraremos todas las carpetas que se hayan creado al extraer los ficheros de KDE y syslinux, y también borramos ambos archivos y asegurense de sólo tener abierta una terminal con la cual trabajaremos, ahora guardaremos todos nuestros cambios en un fichero, así:

#dir2lzm /mnt/live/memory/changes /root/cambios.lzm

esa operación tarda un poco.... una ves que termine ahora SÍ MONTAMOS las particiones de la USB, y en la terminal nos vamos al siguiente directorio:

#cd /mnt/live/mnt/hdc [en mi caso es hdc, depende de la unidad de CD, verifiquen]

Ahora copiaremos los directorios BOOT y BT3 a las particiones FAT32 y EXT3 respectivamente, de la siguiente forma:

#cp -R boot /mnt/sda1 [en mi caso sda1 es la partifion FAT32 de mi USB]
#cp -R BT3 /mnt/sda2 [mi particion EXT3, verifiquen la suya]

luego nos vamos al directorio donde se creó el archivo cambios.lzm, y lo copiamos al directorio /mnt/sda2/BT3/modules/cambios.lzm:

#cd ~ [yo lo creé en /root]
#cp cambios.lzm /mnt/sda2/BT3/modules/cambios.lzm [sda2 es mi partición EXT3 de mi USB]

y eso debería ser suficiente para tener nuestro BT3 en una USB... cualquier duda, corrección, o lo que sea por favor comenten.... ahora sólo un screenshot de mi BT3 personaizado:

Repaso rápido:

• Conseguir y quemar el BT3 en un CD
• Descargarse los paquetes de KDE y syslinux
• Particionar la USB
• Iniciar la LiveSession del BT3
• Instalar el paquete de KDE
• Logout
• Extraer y hacer operaciones con el Syslinux
• Borrar todos los archivos usados en la LiveSession
• Crear el archivo lzm
• Copiar los directorios BOOT y BT3 a las particiones FAT32 y EXT3 respectivamente
• Copiar el archivo lzm a BT3/modules/ de la particion EXT3 de la USB
  

Read full story