Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - 0x98364

#1
Cita de: r32 en 12 Junio 2018, 20:58 PM
Probaste ésto:

https://support.microsoft.com/es-es/help/931673/how-to-create-a-user-mode-process-dump-file-in-windows

En el método 2 se utiliza la herramienta ADPlus que viene incluida en el Debuggin tools for Windows:

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/

Espero te pueda servir, no lo he probado en Windows 2000, pero expresamente pone que sirve para Windows NT 4.0.

Saludos.

Muchas gracias por la respuesta, he estado buscando la descarga de la versión de estas herramientas para Windows 2000 y están todos los enlaces caidos...seguiré buscando.
#2
Buenas tardes a todos,


Me encuentro en una situación que requiere del volcado de un proceso en un sistema Windows 2000, he estado buscando muchisimo y no he encontrado nada, he visto que procdump no funciona en sistemas 2000 y me estoy volviendo un poco loco.

Conoceis alguna otra alternativa? Se que es un SO obsoleto y por eso la falta de info en Internet, algún vieja escuela que me pueda ayudar?


Gracias de antemano.
Un saludo.
#3
Buenas a todos,

No estoy seguro de que esta sea lasección correcta para plantear esata pregunta, si no es así por favor, moved este tema sin problema.

Vereis, estoy preparando un CTF a gran escala y bastante importante, es la primera vez que lo hago y tengo bastantes dudas referentes al tema. A ver si me podeis echar un pequeño cable.

Quiero preparar una parte de retos relacionados con el análisis de capturas de comunicaciones de red (chats IRC, transferencias de archivos, etc...)El caso es que he realizado bastantes retos del estilo en distintas plataformas, pero nunca los he preparado yo. Con esto quiero preguntar, ¿existe alguna herramienta para modificar los .pcap y dejar las pistas que a mi me interesan? Puedo simular una red y las comunicaciones pero la captura se llena de cosas que no quiero que se vean.

Otra cosa es que, en los retos de análisis forense me pasa igual, por ejemplo, quiero preparar una imagen de un disco duro para que los participantes tengan que analizar la imagen en busca de archivos borrados. Si preparo una VM y hago la imagen va a pesar demasiado y va a tener muchos datos inservibles o que no quiero que aparezcan, ¿existe alguna herramienta para generar estas imágenes de análisis forense a tu antojo? Esto lo dudo mas, pero por preguntar...

A un nivel global, me gustaría concocer las herramientas para la creación de ésta clase de retos y que me puedan ayudar.

Muchas gracias por leer mis quebraderos de cabeza, a ver si me podeis echar un cable. Y si os gustaría participar en la creación de éstos retos estaré encantado de hablar con vosotros sobre el tema.

Un saludo.
#4
Muchas gracias por la respuesta.

He estado leyendo sobre la ImageBase de los ejecutables, y tengo entendido que por defecto se cargan en  0x400000, ¿es cierto?

La cosa cambia entonces cuando se cargan DDLs y éstas necesitan tirar de .reloc y entonces es ahí donde las direcciones virtuales varian.

Creo que ya empiezo a entender, mi duda era que siempre que cargaba un ejecutable en OllyDBG siempre empezaba por la misma dirección virtual independientemente del equipo que utilizase y de la memoria del equipo, pero ya empiezo a tener idea jeje. Gracias de nuevo.

Un saludo.
#5
Buenas a todos,

Es una pregunta tonta, lo sé, pero me surgió el otro día y no pude fundamentar con lógica la respuesta.

Las direcciones virtuales que, por ejemplo, te puede dar OllyDBG de un ejecutable, ¿pueden variar de un equipo a otro? O siempre van a ser las mismas independientemente del equipo donde se depure un programa.

Entiendo que lo que cambia es la traducción de virtual a física, pero qisiera mas info sobre este tema.

Muchas gracias.
Un saludo.
#6
Buenas a todos,

Con este hilo busco una pequeña ayuda con un CTF que estoy realizando (es un CTF gratuito, no hay premios ni nada, lo hago por aprender más). Vereis, en una prueba te proporcionan un archivo con la Master File Table de un equipo Windows 7.

El objetivo es determinar una URL se ha utilizado para descargar un malware que ha infectado a ese equipo. Para analizar el archivo MFT he utilizado la siguiente herramienta:

http://malware-hunters.net/2012/09/13/mftdump-v-1-3-0-released/


Que genera un output con los datos. La cosa es que (por lo que tengo entendido) lo único que voy a sacar de este archivos es el nombre de los ficheros, fechas de creación, sector donde estan localizados en el HDD...pero aboslutamente nada relacionado con conexiones.

Hay alguna manera de obtener mas datos de una tabla MFT que tenga que ver con conexiones, o con el contenido de los ficheros? Seguro que para quien sepa del tema es una pregunta tonta, pero soy algo novato en temas forenses.

Gracias de antemano.
#7
Buenas Engel,

Gracias por la respuesta, el código era un base64 que devolvía un gzip que a su vez tenia un código dentro, muchas gracias por la ayuda!
#8
Buenas a todos,

Vereis, estoy realizando una auditoría y me encontré con el siguiente código en un HTML y quisiera saber vuestra opinión de lo que puede ser. Pienso en un PHP malicioso pero la verdad no tengo ni idea...

EDIT: Solucionado
#9
Buenas a todos,

Estoy realizando un curso de desarrollo de software seguro y me surge una duda sobre los denominados controles de accesos programáticos y declarativos, que diferencia hay entre ellos?

La verdad que revisando documentación de Oracle no puedo definir del todo en que consiste cada uno, y sobre todo en que se diferencian.

Estos controles de acceso se refieren a, por ejemplo, el control de acceso a variables de una clase a otra? (private, public)

Cualquier ayuda que me podáis dar me vendría genial para arreglar este tema mental que tengo, muchas gracias.

Un saludo. ;-)
#10
Hardware / Re: Opiniones sobre este PC, 650€
21 Noviembre 2014, 21:17 PM
Personalmente prefiero NVidia a Ati, pero eso yo creo que ya es cuestión de gustos. Otra cosa que también veo que deberías mejorar es el disipador de la cpu, invierte un poco mas por ejemplo en un Cooler Master Hyper TX3 EVO que el AMD se caliente como un demonio.

Saludos