Mensajes

Buenas!
Creo que la mejor manera de hacer eso es instalando un hardware gps en la portátil.
La otra solución sería que tu mismo programes un kelogger para tu modelo de bios, algo que no  creo que   puedas hacer, ya que hay ue programar en asembler.
Esa sería  la única manera de que un keylogger sobreviva a un formateo.
.cifra la información importante.
.Pon password de  entrada y  de prendido a tu bios.
Abrazo

En realidad, todo va más por el tema de los permisos de escritura del usuaio en el registro de windows.
Lo mejor no es evitar que no se entre, si no que directamente, cambiar los permisos de las keys del registro que manejan esas configuraciones.
De este  modo, gpedit.msc no podrá modificar la configuración GPO, ni tanpoco ningún otro programa.
Saludos!, me tengo que ir, terminó el horario de  clase xd.
Abrazo

Buenas!
Si, pero creo que todos los svchost son de svchost.ex c:\windows\system32\svchost.exe).
Si, desde win vista se an agregado muchos servicios.
Como  siempre, la mayoría se puede desabilitar.
Pero claro, eso corre por  cuenta del usuario.
off topic:
Estoy escribiendo desde la  escuela, en mi loclidad se afanaron los cables del telefóno, asique por ahora no tengo internet.
Ante todo, decir que  extraño mucho al foro,
Pero bueno.
Abrazo!

No creo que el tema tenga que ver con seguridad, no digo que no pueda ser un malware, pero en la mayoría de los casos esto es causa de hardware.
Bien, para determinar si el problema es hardware o software,   simplemente,descarga un   livecd de ubuntu, y luego inicia con el.
Si el problema pasa también con el cd de ubuntu, lo mas provable es que sea hardware.
De lo  contrario, si el cd de  ubuntu no tira problemas, el problema podría ser de software.
En fin, determina eso primero, y luego vemos que podemos hacer.
Saludos

Si, puede ser si abres  algún ejecutable de esa partición, ya sea porque tu  lo abres, o porque la partición tiene un autorun.
Itenta determinar si la partición tiene un archivo llamado autorun.inf.

Código [Seleccionar] Expandir


inicio>ejecutar>cmd
cd /d d:\
attrib -h -s -r autorun.inf
start autorun.inf

Bien, si se abre el fichero autorun.inf, es porque  tienes autorun, de lo contrario,  trata de recordar si abres algún fichero ejecutable desde d:\.
De última, puedes sacar los datos de d:\, y formatear todo el hd a low level.
Pero esto es lo último, trata de pensar si abres algún ejecutable en d:\.
Saludos!

Bien, solo pondré lo que me parece raro, ya que es un log muy largo, y estaría media hora buscando en google.

Código [Seleccionar] Expandir


C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\StkASv2K.exe

Estos ficheros del msn yo no los tengo:
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSvcM.exe

creo que estas barras son de telefónica.
O2 - BHO: Helper Class - {868290F7-32E3-11D4-8533-00C04F033A35} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll
programa\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: telefonica.es - {8F644576-314F-11D4-8531-00C04F033A35} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll
O4 - Global Startup: hpoddt01.exe.lnk = ?

Mas de telefónica
O9 - Extra 'Tools' menuitem: Barra de Navegación - {54A6E2D5-737C-4173-9C4A-0870175994CE} - C:\WINDOWS\Downloaded Program Files\BarraNavegacion.dll
Los dpf me parecen raros.

O17 - HKLM\System\CCS\Services\Tcpip\..\{036D7964-F51C-43A8-8A15-458AD671EC91}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{036D7964-F51C-43A8-8A15-458AD671EC91}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: TrackMania Original Drivers Auto Removal (pr2ajcyb) (pr2ajcyb) - NADEO - C:\WINDOWS\system32\pr2ajcyb.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe
O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

Por lo del svchost usa svchost process analizer,
http://www.neuber.com/free/svchost-analyzer/index.html


Saludos!

Depende del servidor que uses.
Por ejemplo, en apache están situados en la carpeta logs, del directorio de instalación de apache.
En mi caso, tengo 3 archivos.
access.log
Este fichero tiene las ips que entraron a tu servidor, la fecha y hora,  el recurso al que entraron, y la respuesta.
Por ejemplo, una línea en mi caso es:

Código [Seleccionar] Expandir


127.0.0.1 - - [24/Feb/2010:16:53:40 +0100] "GET / HTTP/1.1" 200 2270

error.log
Este fichero  contiene los  errores de apache.
httpd.pid
En mi caso no tiene nada.
En fin, el fichero mas importante es access.log, por lo menos a la hora de determinar ataques de denegación de servicio.
Saludos

Hola!
Bueno, ayer que estaba sin hacer nada, decidí crear un script en JScript
que cree un log de usuarios y sids.
En fin, lo hice usando WMI, y este fue el resultado:

Código [Seleccionar] Expandir


//users to log.js
// by winroot
var fso=new ActiveXObject("scripting.filesystemobject"); //creación del objeto FSO
var loc = new ActiveXObject("WbemScripting.SWbemLocator"); //objeto para trabajar con WMI
var svc = loc.ConnectServer(".", "root\\cimv2"); //conectamos
c = svc.ExecQuery("select * from Win32_UserAccount"); //consultamos la información
var items = new Enumerator(c); //creamos un enumerador para la consulta
var file=fso.createtextfile("users.txt",true); // creamos el ficheros users.txt
file.writeline("nombre sid"); //escribimos una línea
while (!items.atEnd()) //recorremos los elementos del enumerador
{
file.writeline(items.item().name+" "+items.item().sid); //escribimos en users.txt el nombre de cada cuenta y su sid
items.moveNext(); //movemos al siguiente elemento del enumerador
}
file.close(); //cerramos el archivo
var sh=new ActiveXObject("WScript.Shell"); //creamos el objeto shell
sh.popup(" Terminado! \n Se ha guardado el log users.txt.\n Copyleft winroot","10000" ,"users to log ","64"); //mostramos el diálogo terminado
//EOF

Bueno, como se puede ver, no hay mucho que explicar.
Ahora, lo abrimos, y nos genera un archivo llamado users.txt.
En mi caso, este fue el resultado.
nombre sid
Administrador S-1-5-21-606747145-706699826-1957994488-500
Invitado S-1-5-21-606747145-706699826-1957994488-501
Espero que a alguien le pueda ser de utilidad, no solo el script, si no el trabajo con WMI desde JScript.
Se puede descargar un .rar,
:http://winroot.eu5.org/programas/mi/userstolog.rar
Saludos!

hola a todos   

como dice winroot no esta muy clara tu pregunta pero por lo que te entiendo voy a responder :
respuesta #1 : Una de las mejores maneras de detectar intrusiones es en el registro de eventos ,está habilitado automáticamente de forma predeterminada y no hay ningún mecanismo para deshabilitarlo
Para usarla : clic en Inicio  click en Panel de control,  doble clic en Herramientas administrativas y doble clic en Visor de eventos

respuesta #2 : ir al foro hacking Wireless , wireless Window ,
duda : si ya sabes como auditar en linux ,para que quieres usar guindos

suerte
by

El visor de   sucesos, pse puede desabilitar,  simplemente, desabilitando su  servicio (eventlog) desde el registro de windows.
Es mas, yo lo tengo desabilitado, para ahorrar memoria.
Saludos!

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe

yo intentaria desinstalar deepfreeze primero  

A mi entender, el usuario lo  utiliza para controlar los pcs, asique con desabilitarlo antes de hacer las modificaciones sobra.
Pd:
Ahora que lo peinso, ¿no aparecerá bloqueado cuando reinicias porque no desabilitas DFRZ antes de hacer los cambios?
Pd2:
Tienes desabilitado el registro de windows.
Saludos