bitcoin prize

EVADIR LA PASSWORD PARA FINES DE INFORMATICA FORENSE CON HIRENTS BOOT

"SALTARSE LA CONTRASEÑA DE WINDOWS XP/VISTA/7  CON HIRENTS BOOT CD LIVE Y SU POSIBLE UTILIDAD EN INFORMATICA FORENSE"

La utilidad hirents boot es muy efectiva ala hora de la recuperacion de datos,  pero lo que algunos no se dan cuenta que se le puede sacar el maximo provecho tambien en el mundo del hacking o pentesting como se le quiera llamar a algunas de las jugosas herramientas que vienen en este gran cd live lleno de herramientas y boxes,  en estos casos las herramientas esan diseñadas especificamente para uso en soporte tecnico ,  es decir, cuando algun cliente se le ha olvidado la contraseña y no sabe que hacer porque no quiere formatear ya que en esa computadora tiene datos muy importantes y por lo tanto no quiere perderlos.
lo que hacen este tipo de herramientas es hacer una exhaustiva busqueda del archivo donde se encuentra alojados las contraseñas para posteriormente atacar este archivo y ver que es lo que contiene tras bambalinas,  el archivo que contiene las contraseñas es el SAM o Security Acount Manager,  que es el encargado de gestionar todo lo relacionado con la seguridad de las cuentas y contraseñas del usuario sea este administrador o usuario local sin privilegios.
existen muchas utilidades que hacen el trabajo por nosotros y nos ahorran muchos recursos a nosotros que pudieramos aprovechar en otras cosas como crear el reporte que entregaremos al cliente.
existen otras formas de entrar el windows sin las contraseñas correspondientes pero ese es otro tema para otros posts u otras entradas futuras de este blog.
este tipo de casos pudiera ser aprovechado tanto por atacantes como por informaticos forenses como por ejemplo si tenemos un caso de una victima quien fue encontrada muerta y una de las evidencias que recogen los peritos en forense(criminalistica)  es un ordenador encendido pero resulta que este mismo se suspendio y se coloco la pantalla desde donde nos pide la contraseña correspondiente que vias tenemos para lograr acceso y hacer un clonado completo del disco ?  podemos urgar en su memoria ram?  como evidenciamos esto?  cual seria el paso de la investigacion si podemos saber cuales son sus contraseñas de redes sociales y websites almacenadas dentro del ordenador y quien fue con la ultima persona que platico?  a que hora estuvo conectada? que isp tenia?
todas las anteriores preguntas las podemos hacer una vez que hemos obtenido acceso completo al sistema y la unica forma es conociendo la contraseña o logrado pasar los controles de seguridad del sistema operativo claro esta sin afectar la evidencia ya que si contaminamos la evidencia perderiamos los datos y estos mismos ya no servirian de cara a una cadena de custodia como lo vamos a ver mas adelante en esta misma entrada.
recordemos que una de las fases y fundamentos mas importantes dentro de las ramas forenses es no contaminar la escena del crimen o en este caso no contaminar una de las evidencias ya que si este fuese el caso entonces la evidencia no seria valida y no podemos presentar la prueba como tal ni se puede volver a reproducir en un laboratorio controlado.
uno de los aspectos fundamentales es que "toda prueba o evidencia o hipotesis acerca de un caso dentro de la escena del crimen debe ser reproducible en todos los sentidos, es decir otro investigador debe poder reproducir con la prueba adecuada las siguientes interrogantes"
  • Como?
  • Que?
  • Cuando?
  • Donde?
  • Quien? 
  • Porque?
con estas anteriores preguntas la investigacion puede seguir su curso adecuado y dar con el responsable o los verdaderos responsables siempre y cuando no se hayan contaminado en las fases previas las evidencias recolectadas en la cadena de custodia.
si no es el caso, entonces tendremos que entregar reportes como una especie de bitacora donde pondremos y documentaremos minuciosamente todo el proceso que hemos estado llevando a cabo como el clonado correspondiente del disco duro y en caso de que enontramos la evidencia encendida (ordenador) pues un volcado de la memoria ram.
ademas si nuestro conocimiento nos lo permite,  pues podemos inspeccionar cada archivo que nos parezca completamente sospechoso con un editor hexadecimal siempre y cuando conozcamos la estructura de dichos archivos que en windows seria la estructura PE no muy dificil de aprender y analizar.
algo con lo que tenemos que tener mucho cuidado como lo explique anteriormente es que tenemos que tener especial cuidado en preservar y recoger la escena del crimen en este caso usaremos una utilidad o utilidades que van afectar unas partes del sistema sobre el registro de windows,  por eso recuerdo la importancia de tener cuidado con estas herramientas que son en parte intrusivas.
uno de los archivos mas importantes dentro de windows se encuentran en el archivo SAM mejor conocido para albergar toda la informacion referente a las cuentas del usuarios en casi todos los sistemas operativos windows comerciales.
lo primero que necesitamos para hacer esto en un laboratorio es descargarnos la ultima version de hirents boot cd que incluya un mini windows xp dentro de este mismo hay muchos tutoriales en internet que explican esto y hay muchas versiones de los mismos que nos pueden ser muy utiles aunque para la decepcion de algunos las ultimas versiones que han salido no traen algunas utilidades por cuestiones de compatbilidad con el hardware de algunas computadoras.

hay que tener en cuenta que tendremos primero de evitar que el disco duro encontrado o la computadora encontrada en la escena del crimen no deberemos bajo ninguna circunstancia se debe alterar los componentes ni siquiera se deben alterar el sistema operativo ni el sistema de archivos determinada que se aloja dentro del sistema operativo que tenemos que investigar como peritos forenses.

lo que vemos en la siguiente imagen es un bloqueador de escritura y se utiliza en el ambito de la informatica forense  para evitar que las copias que realizamos con comprobaciones con clonacion de discos duros no se alteren durante la recogida de la evidencia dentro de la escena del crimen.



como podemos ver se esta realizando una clonacion de disco duro forense pero tenemos activado een el bridge forense la opcion de bloqueado contra escritura para que durante este mismo proceso no se altere ningun archivo y en caso de alterarse tendremos que verificar la integridad del mismo como lo muestra tambien la siguiente imagen:


podemos ver que la herramienta ha sacado el sha-1 y el md5, aunque claro como todo esto se podria realizar con un script que saque todo los hashes de un conjunto de archivos como de un disco duro completo, aunque claro esta esto podria ser tardado ya que dependera del rendimiento de nuestra maquina asi como el rendimiento y la performance de nuestra memoria Ram o de acceso aleatorio de los nucleos del procesador entre otros factores.

hay varias formas de sacar el md5 en diversos lenguajes pondremos un ejemplo aqui mismo que saque de una cadena de texto de md5 y sha-1,   aunque estos ultimos no se recomiendan porque podrian tener multiples colisiones es decir se podria dar la misma hash para dos archivos que no tienen nada que ver y asi arruinar nuestra investigacion por lo que de algun tiempo para aca por estandar defacto se recomienda el uso de funciones mas fuertes matematicamente hablando como por ejemplo sha-256 o sha-512 aunque el proceso es mas complicado y seria mas tardado es en un 100% seguro a excepcion de con la computacion cuantica claro esta.


aqui un ejemplo de como se podria sacar un hash de una cadena (python):
  



#importando clases y metodos nativos hash
print "sacando md5"
cadena = "thepentesterdiaries"
resultado = hashlib.md5(cadena.encode())

print("el resultado hexadecimal de la cadena es" , end= "")
print(resultado.hexdigest())





ahora lo que nos centraremos es en instalar y usar la herramienta ntpasswd,  una vez instalado y previamente configurado el entorno hirents boot,  lo que haremos es conectar nuestro bloqueador de escritura previamente haceros una copia y trabaar directamente sobre la copia para alterar la imagen original para evitar que nuestras investigaciones no sirvan de nada ya que deberos recordar que  la integridaad de la informacion debe de ser 100% fiable lo mas fiable posible ya que de lo contrario no nos servira en un juzgado al momento de ejercer de defensa o de victima dentro de las jurisdicciones de cada pais donde nos encontremos.

la herramienta que nos ayudara y bastante otra vez cabe recordar que debemos trabajar muy bien SOLO CON LA COPIA ,  NUNCA CON LA IMAGEN FORENSE DEL DISCO DURO ORIGINAL,   la herramienta es ntpasswd y es un poco antigua pero nos sirve de hecho sirve y es funcional en pleno 2021,  cabe aclarar que bota la password de cualquier  sistema operativo windows dependiendo del paquete de actualizacion con el que el sistema se encuentre.

la tool actualmente detecta automaticamente la version del sistema operativo de windows y su ubicacion del archivo SAM que  casi siempre microsoft lo ubica donde mismo digo casi siempre porque en algunas actualizaciones esto ha cambiado y se pretende que cambie por completo a una mayor seguridad en el nuevo sistema operativo de lanzamiento el windows 11 una version un poco mejorada con interfaz de usuario de cristal para dispositivos mas modernos.


Como conclusion debemos recordar que tenemos que tener cuidado como lo reitere varias veces en este articulo una sola mala pasada o un error de nosotros mismos como forenses y el hash cambia por completo se pierde la integridad y nuestra investigacion qe hayamos realizado ser pierde en total completitud.

las opciones que nos brinda son muy simples cambiar la password por otra mas sencilla o desbloquearla por completo tambien vamos aclarar algo que no habiamos comentado y es que si el disco duro esta cifrado o el disco duro esta cifrado por la tecnologia bitlocker de windows lastimosamente tendremos que buscar otra via para acceder a los datos ya que este metodo queda ineficaz y sin funcionalidad.

que tengan bonita noche.

saludos 

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más