Este blog ya no está activo, sigue informándote aquí:

Mostrar todo
Mostrando entradas con la etiqueta SysInternals. Mostrar todas las entradas
Mostrando entradas con la etiqueta SysInternals. Mostrar todas las entradas

martes, 10 de octubre de 2017

Ocultando procesos de Sysinternal (Process Explorer)

Ya sabéis la devoción que le tenemos a Mark Russinovich en este blog y como no, al pack de herramientas Sysinternals. Pero si se nos da información de como evitar que nuestros procesos "maliciosos" o pruebas no puedan ser detectadas por Process Explorer pues no lo podemos evitar. 


Pues el blog de RiscyBusiness (me encanta el nombre) ha compartido toda la su investigación acerca de como fastidiar a la suit Sysinternals y al final lo consigue con un secuestro de Dll muy inteligente. 

Ademas de toda la información, podréis encontrar el GitHub de la PoC en la fuente de la noticia: 

Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , ,

lunes, 27 de febrero de 2017

[Slides].- Cazando Malware con Sysinternals

Hace mucho tiempo ya hablamos sobre [esta ponencia de Mark Russinovich] sobre como encontrar y cazar software malicioso gracias al paquete de herramientas para Windows, Sysinternal. a integración de estas herramientas con virus total se ve que ha dado sus frutos y ahora muchas utilizan este servicio para verificar si un archivo esta lanzando procesos maliciosos en cualquier punto en el que se encuentre el sistema. 


De esto tratan estas slides y son muy recomendables junto con la ponencia que os comentaba anteriormente: 
Sed buenos ;) 



Publicado por en No hay comentarios:
Etiquetas , , , ,

viernes, 9 de enero de 2015

Whois Server & Charlie Hebdo

Esta tarde buscando una entrada interesante para el blog y ya que disponia de un poco mas de tiempo para buscar,  me he encontrado con el siguiente Tweet.


La verdad es que no me esperaba que WhoIs hiciera algo como eso y he querido ver el mensaje con mis propios ojos pero había un problema, por defecto en Windows 8.1 no podemos utilizar WhoIs a pelo. Así que, como sysinternals ya me ha ayudado mas de una ves he ido en su busqueda y lo he encontrado.

Whois v1.12 By Mark Russinovich:
Aunque el usage difiere un poco con los de UNIX he hecho la prueba. 


La verdad es que me encanta que whois haya hecho algo así la verdad, es una reivindicación genial para unos momentos tan crudos como estos. Aquí tenéis el resultado de la prueba: 


Sed Buenos ;)  Je suiS Charlie
Publicado por en No hay comentarios:
Etiquetas , , , , ,

sábado, 31 de mayo de 2014

Vídeo.- A la Caza de Malware con Sysinternals Tools

Supongo que ahora todos estaréis disfrutando de los [videos de la RootedCON 2014] que han salido hace nada. Pero, como algunos me veis un poco Windolero y ya que adoro el trabajo de [Mark Russinovich], os voy a recomendar el siguiente vídeo para lanzar un poco mas de leña al fuego. La verdad es que Sysinternals da para mucho y con este vídeo sabremos porqué.


Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , ,

viernes, 31 de enero de 2014

Process Explorer.- Con Virustotal

Hace muchísimo que os hable de una herramienta de [sysinternals] llamada [Process Explorer] la cual era de mucha utilidad para ver si habían procesos no conocidos o de procedencia sospechosa. Pero también hace mucho mas tiempo que os hablé de la archi-famoso [Virustotal] el cual fue comprado por Google y que ahora gracias a sysinternals podremos disfrutar de el fusionado con la nueva actualización para Process Explorer. Lo cual me encanta y creo que le viene como anillo al dedo a esta herramienta. 

"Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis."
 Me muero de ganas de tener un hueco para probar esta actualización. Os dejo el enlace a la pagina de Windows Sysinternals para que podáis darle caña antes que yo.

Visto en:
Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , ,

viernes, 23 de agosto de 2013

Process Monitor.- Madre Mía ¿Todo Esto Ha Hecho Mi Windows?

Hace ya dos días os [hable de Sysinternals, de quien es Mark Russinovich y de Process Explorer]. También dije que me guardaba en el tintero hablar de Process Monitor porqué creo que también se merece una entrada aparte como hice con Process Explorer.

Process Monitor permite la "monitorización" de herramientas y muestra en tiempo real toda la actividad del sistema de archivos en Microsoft Windows sistema operativo. Combina dos instrumentos más antiguos, FileMon y RegMon y se utiliza en la administración de sistemas, informática forense, y la depuración de la aplicación.


Esta herramienta supervisa y registra todas las acciones atentaron contra el Registro de Microsoft Windows. Esto, puede de ser utilizado para detectar intentos fallidos para leer y escribir las claves de registro. También permite el filtrado de keys específicas, procesos, identificadores de proceso, y los valores. Además, muestra cómo las aplicaciones usan los archivos y las DLL, detecta algunos errores críticos en los archivos del sistema y más.

Os dejo en enlace para que le echéis un vistazo.
Sed Buenos ;)
Publicado por en No hay comentarios:
Etiquetas , , , , ,

miércoles, 21 de agosto de 2013

Process Explorer - Mark Russinovich .- ¡¿Que Procesos Esta Llevando a Cabo Mi Windows?!

Todos o la gran mayoría (bueno al menos yo seguro XD) hemos querido aportar algo a la comunidad o a un sistema que sea útil para todos y que la gente la use y se divierta con ella. Supongo que [Mark Russinovich] pensó lo mismo cuando fundó [SysInternals], una pagina destinada a la publicación de herramientas de sistema con su pertinente explicación y detalles,  junto a Bryce Cogswell en 1996 y la adquirió Microsoft en 2006. [Mark Russinovich] es un autentico Crack y merece que os leáis su biografía  en la Wikipedia.


Unas de las herramientas que mas me gustan de SysInternal son [Process Explorer] y Proces Monitor. Reservando la segunda utilidad para otra entrada, hoy le daremos un vistazo a Process Explorer para familiarizarnos y empecéis a usarlo. 

Muchos nos hemos preguntado alguna vez cuantos y sobretodo que procesos estaría realizando nuestro Windows. ¿Habrá alguno sospechoso? ¿El programa ese que me bajé de esa pagina no me habrá metido nada raro no? Pues, con Process Explorer podremos analizar los procesos que corren en nuestro equipo.
"Las capacidades únicas de Process Explorer lo convierten en una útil herramienta para la localización de problemas de versión de DLL o pérdidas de identificadores, y ofrece detalles internos acerca del funcionamiento de Windows y las aplicaciones."

Advierto que esto no es la panacea a todos los males, solo podréis localizar procesos que actúen de maneras extrañas y que el antivirus lo haya pasado por alto. Sea como sea, es una capa mas de Seguridad que viene bien tenerla a mano. Os animo encarecidamente a probar la herramienta.
Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , , ,
Suscribirse a: Comentarios (Atom)