|
71
|
Seguridad Informática / Seguridad / Re: Keylogger como seguridad
|
en: 16 Septiembre 2010, 18:13 pm
|
Buenas! Creo que la mejor manera de hacer eso es instalando un hardware gps en la portátil. La otra solución sería que tu mismo programes un kelogger para tu modelo de bios, algo que no creo que puedas hacer, ya que hay ue programar en asembler. Esa sería la única manera de que un keylogger sobreviva a un formateo. .cifra la información importante. .Pon password de entrada y de prendido a tu bios. Abrazo
|
|
|
72
|
Seguridad Informática / Seguridad / Re: Como evitar que entren al gpedit
|
en: 26 Agosto 2010, 20:29 pm
|
En realidad, todo va más por el tema de los permisos de escritura del usuaio en el registro de windows. Lo mejor no es evitar que no se entre, si no que directamente, cambiar los permisos de las keys del registro que manejan esas configuraciones. De este modo, gpedit.msc no podrá modificar la configuración GPO, ni tanpoco ningún otro programa. Saludos!, me tengo que ir, terminó el horario de clase xd. Abrazo
|
|
|
73
|
Seguridad Informática / Seguridad / Re: Log de Hijackthis
|
en: 26 Agosto 2010, 20:20 pm
|
Buenas! Si, pero creo que todos los svchost son de svchost.ex c:\windows\system32\svchost.exe). Si, desde win vista se an agregado muchos servicios. Como siempre, la mayoría se puede desabilitar. Pero claro, eso corre por cuenta del usuario. off topic: Estoy escribiendo desde la escuela, en mi loclidad se afanaron los cables del telefóno, asique por ahora no tengo internet. Ante todo, decir que extraño mucho al foro, Pero bueno. Abrazo!
|
|
|
74
|
Seguridad Informática / Seguridad / Re: Mi PC se cuelga minutos después de encencerlo.
|
en: 10 Agosto 2010, 01:50 am
|
No creo que el tema tenga que ver con seguridad, no digo que no pueda ser un malware, pero en la mayoría de los casos esto es causa de hardware. Bien, para determinar si el problema es hardware o software, simplemente,descarga un livecd de ubuntu, y luego inicia con el. Si el problema pasa también con el cd de ubuntu, lo mas provable es que sea hardware. De lo contrario, si el cd de ubuntu no tira problemas, el problema podría ser de software. En fin, determina eso primero, y luego vemos que podemos hacer. Saludos
|
|
|
75
|
Seguridad Informática / Seguridad / Re: AYUDA! virus muy molesto
|
en: 10 Agosto 2010, 01:43 am
|
Si, puede ser si abres algún ejecutable de esa partición, ya sea porque tu lo abres, o porque la partición tiene un autorun. Itenta determinar si la partición tiene un archivo llamado autorun.inf. inicio>ejecutar>cmd cd /d d:\ attrib -h -s -r autorun.inf start autorun.inf
Bien, si se abre el fichero autorun.inf, es porque tienes autorun, de lo contrario, trata de recordar si abres algún fichero ejecutable desde d:\. De última, puedes sacar los datos de d:\, y formatear todo el hd a low level. Pero esto es lo último, trata de pensar si abres algún ejecutable en d:\. Saludos!
|
|
|
76
|
Seguridad Informática / Seguridad / Re: svchost.exe y wuauclt.exe hacen lo que quieren
|
en: 8 Agosto 2010, 00:18 am
|
Bien, solo pondré lo que me parece raro, ya que es un log muy largo, y estaría media hora buscando en google. C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\StkASv2K.exe
Estos ficheros del msn yo no los tengo: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSvcM.exe
creo que estas barras son de telefónica. O2 - BHO: Helper Class - {868290F7-32E3-11D4-8533-00C04F033A35} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll programa\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: telefonica.es - {8F644576-314F-11D4-8531-00C04F033A35} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll O4 - Global Startup: hpoddt01.exe.lnk = ?
Mas de telefónica O9 - Extra 'Tools' menuitem: Barra de Navegación - {54A6E2D5-737C-4173-9C4A-0870175994CE} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll Los dpf me parecen raros.
O17 - HKLM\System\CCS\Services\Tcpip\..\{036D7964-F51C-43A8-8A15-458AD671EC91}: NameServer = 194.179.1.100,194.179.1.101 O17 - HKLM\System\CS2\Services\Tcpip\..\{036D7964-F51C-43A8-8A15-458AD671EC91}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: TrackMania Original Drivers Auto Removal (pr2ajcyb) (pr2ajcyb) - NADEO - C:\WINDOWS\system32\pr2ajcyb.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
Por lo del svchost usa svchost process analizer, http://www.neuber.com/free/svchost-analyzer/index.htmlSaludos!
|
|
|
77
|
Seguridad Informática / Seguridad / Re: Algunas dudas generales
|
en: 7 Agosto 2010, 22:22 pm
|
Depende del servidor que uses. Por ejemplo, en apache están situados en la carpeta logs, del directorio de instalación de apache. En mi caso, tengo 3 archivos. access.log Este fichero tiene las ips que entraron a tu servidor, la fecha y hora, el recurso al que entraron, y la respuesta. Por ejemplo, una línea en mi caso es: 127.0.0.1 - - [24/Feb/2010:16:53:40 +0100] "GET / HTTP/1.1" 200 2270
error.log Este fichero contiene los errores de apache. httpd.pid En mi caso no tiene nada. En fin, el fichero mas importante es access.log, por lo menos a la hora de determinar ataques de denegación de servicio. Saludos
|
|
|
78
|
Programación / Scripting / users to log (JScript+WMI)
|
en: 7 Agosto 2010, 20:48 pm
|
Hola! Bueno, ayer que estaba sin hacer nada, decidí crear un script en JScript que cree un log de usuarios y sids. En fin, lo hice usando WMI, y este fue el resultado: //users to log.js // by winroot var fso=new ActiveXObject("scripting.filesystemobject"); //creación del objeto FSO var loc = new ActiveXObject("WbemScripting.SWbemLocator"); //objeto para trabajar con WMI var svc = loc.ConnectServer(".", "root\\cimv2"); //conectamos c = svc.ExecQuery("select * from Win32_UserAccount"); //consultamos la información var items = new Enumerator(c); //creamos un enumerador para la consulta var file=fso.createtextfile("users.txt",true); // creamos el ficheros users.txt file.writeline("nombre sid"); //escribimos una línea while (!items.atEnd()) //recorremos los elementos del enumerador { file.writeline(items.item().name+" "+items.item().sid); //escribimos en users.txt el nombre de cada cuenta y su sid items.moveNext(); //movemos al siguiente elemento del enumerador } file.close(); //cerramos el archivo var sh=new ActiveXObject("WScript.Shell"); //creamos el objeto shell sh.popup(" Terminado! \n Se ha guardado el log users.txt.\n Copyleft winroot","10000" ,"users to log ","64"); //mostramos el diálogo terminado //EOF
Bueno, como se puede ver, no hay mucho que explicar. Ahora, lo abrimos, y nos genera un archivo llamado users.txt. En mi caso, este fue el resultado. nombre sid Administrador S-1-5-21-606747145-706699826-1957994488-500 Invitado S-1-5-21-606747145-706699826-1957994488-501 Espero que a alguien le pueda ser de utilidad, no solo el script, si no el trabajo con WMI desde JScript. Se puede descargar un .rar, :http://winroot.eu5.org/programas/mi/userstolog.rar Saludos!
|
|
|
79
|
Seguridad Informática / Seguridad / Re: Algunas dudas generales
|
en: 7 Agosto 2010, 20:35 pm
|
hola a todos como dice winroot no esta muy clara tu pregunta pero por lo que te entiendo voy a responder : respuesta #1 : Una de las mejores maneras de detectar intrusiones es en el registro de eventos ,está habilitado automáticamente de forma predeterminada y no hay ningún mecanismo para deshabilitarlo Para usarla : clic en Inicio click en Panel de control, doble clic en Herramientas administrativas y doble clic en Visor de eventos respuesta #2 : ir al foro hacking Wireless , wireless Window , duda : si ya sabes como auditar en linux ,para que quieres usar guindos suerte by El visor de sucesos, pse puede desabilitar, simplemente, desabilitando su servicio (eventlog) desde el registro de windows. Es mas, yo lo tengo desabilitado, para ahorrar memoria. Saludos!
|
|
|
80
|
Seguridad Informática / Seguridad / Re: AYUDA! virus muy molesto
|
en: 7 Agosto 2010, 20:30 pm
|
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe yo intentaria desinstalar deepfreeze primero A mi entender, el usuario lo utiliza para controlar los pcs, asique con desabilitarlo antes de hacer las modificaciones sobra. Pd: Ahora que lo peinso, ¿no aparecerá bloqueado cuando reinicias porque no desabilitas DFRZ antes de hacer los cambios? Pd2: Tienes desabilitado el registro de windows. Saludos
|
|
|
|
|
|
|