Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
octubre
(Total:
35
)
- Múltiples vulnerabilidades en los CMS de Joomla y ...
- Tor Messenger Beta, el chat fácil sobre la red Tor
- OnePlus X ya tiene precio y disponibilidad oficial...
- Android permitirá grabar la pantalla a través de G...
- ¿A qué edad debe tener un niño su primer teléfono ...
- Netflix publicará la velocidad real de conexión de...
- Ya es posible la configuración Multi-GPU Nvidia co...
- HTC Dream, el primer móvil con Android cumple 7 años
- Los clientes españoles de Ashley Madison están sie...
- SocialDrive te avisa de radares y controles polici...
- Premios Bitácoras 2015: Mejor Blog de Seguridad In...
- OVH World Tour en Barcelona
- Western Digital compra SanDisk por 19.000 millones...
- Rifle desactiva drones a una distancia de hasta 40...
- BackBox Linux 4.4 para realizar Pentesting
- Analizar APKs con AndroTotal y binarios con Revers...
- 9 de cada 10 ayuntamientos españoles son vulnerabl...
- EMET 5.5 incluye la posibilidad de bloquear la car...
- Adobe confirma importante vulnerabilidad de Flash,...
- El ransomware cifrador Shade de origen ruso
- Ataques de fuerza bruta con amplificación en WordP...
- [NocONName] Congreso No cON Name 2015 en La Salle
- Determinar extensión de un fichero mirando las cab...
- Hoox un teléfono ultraseguro a prueba de espías
- Neural Alfa, el teclado de SwiftKey basado en el a...
- Un gato buscando redes Wifi, haciendo Wardriving
- Google presenta oficialmente Android 6.0 Marshmallow
- Samsung no arreglará el Stagefright 2.0 en algunos...
- Google implementará HTTPS en Blogger
- Espiar el móvil de la pareja: dos años y medio de ...
- Phishing a Google a través de SMS supuestamente en...
- Botnet se aprovecha de sistemas Linux para realiza...
- Stagefright 2.0, nueva y grave vulnerabilidad en A...
- Modificación de mensajes manipulando la base de da...
- Descubre todo lo que Google sabe de ti
- ► septiembre (Total: 47 )
-
▼
octubre
(Total:
35
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Determinar extensión de un fichero mirando las cabeceras
viernes, 9 de octubre de 2015
|
Publicado por
el-brujo
|
Editar entrada
Seguramente te habrá ocurrido que en
determinadas ocasiones quisiste ejecutar un archivo desconocido o que
parecía corrupto, que fue hecho en otro sistema operativo, que tenía una
extensión modificada o directamente que no tenía ninguna.
Listado gentileza de SecurityByDefault.com:
Podemos usar algunas herramientas para detectar y analizar virus de Macros:
Formatos Soportados:
Fuente:
En esta entrada desarrollaremos las estructuras básicas de un archivo con extensión y función desconocida. El
objetivo principal será entender de qué forma ejecutar o poder leer un
archivo no reconocido por el sistema operativo, identificando algunos patrones como las cabeceras.
Este tipo de proceso es muy frecuente cuando se
analizan los comportamientos de códigos maliciosos, ya que muchas veces
se descargan archivos sin extensión que luego son transformados en una
segunda etapa de ejecución, o directamente guardan configuraciones para
personalizar una infección en una muestra.
Como vemos en la siguiente imagen, este es un
claro ejemplo de error que se da cuando el archivo no corresponde a la
estructura de la extensión involucrada:
En la informática forense se utiliza la esteganografía, una técnica anti forense que intenta lograr que la información contenida quede almacenada de manera imperceptible.
Las siguientes técnicas resultan muy útiles, ya que es posible que en
muchos casos se localicen archivos que puedan aportar un valor a la
investigación: ya sea por encontrar información oculta o intentando
descubrir pruebas que hayan tratado de camuflarse, ayudarán a entender el modo en que ocurrió el incidente de seguridad.
Herramientas para analizar ficheros ofimáticos online
Listado gentileza de SecurityByDefault.com:
- Joe Sandbox Document Analyzer
- Malware Tracker documentos ofimáticos y documentos PDF
- XecScan
Herramientas para analizar ficheros ofimáticos offline
Podemos usar algunas herramientas para detectar y analizar virus de Macros:
Formatos Soportados:
- Word 97-2003 (.doc, .dot)
- Word 2007+ (.docm, .dotm)
- Word 2003 XML (.xml)
- Word MHTML, aka Single File Web Page (.mht)
- Excel 97-2003 (.xls)
- Excel 2007+ (.xlsm, .xlsb)
- PowerPoint 2007+ (.pptm, .ppsm)
Resultados:
- OLE: the file type is OLE, for example MS Office 97-2003
- OpX: the file type is OpenXML, for example MS Office 2007+
- XML: the file type is Word 2003 XML
- MHT: the file type is Word MHTML, aka Single File Web Page (.mht)
- ?: the file type is not supported
- M: contains VBA Macros
- A: auto-executable macros
- S: suspicious VBA keywords
- I: potential IOCs
- H: hex-encoded strings (potential obfuscation)
- B: Base64-encoded strings (potential obfuscation)
- D: Dridex-encoded strings (potential obfuscation)
- officeparser (proyecto Open-Source escrito en Python 2.x)
officeparser.py --extract-macros
Formatos Soportados:
- Word 97-2003: Si
- Excel 97-2003: Si
- PowerPoint 97-2003: No
- Word/Excel/PowerPoint 2007+: Si
Analizando archivos de forma manual
Llegado el caso, podemos estudiar el archivo mediante su firma hexadecimal
y deducir qué tipo de extensión posee para saber, luego, con qué tipo
de aplicación intentar ejecutarlo o de qué manera poder leerlo.
Existen varias aplicaciones que nos facilitarán
este trabajo, sin embargo en un principio analizaremos los códigos
hexadecimales en forma manual, para que se comprenda mejor el proceso.
En primer lugar, utilizaremos algún editor hexadecimal como es HxD,
que contiene una interfaz sencilla, se puede ejecutar desde una versión
portable, es gratuito y de ligeros consumos de recursos.
Por otra parte, también utilizaremos distintos
tipos de archivos para investigar su encabezado, como por ejemplo alguna
imagen, archivos de audio, video, comprimidos y de sistemas operativos
como Linux.
-
Archivos de ofimática
Veamos el primer ejemplo. Se trata de un
archivo que al parecer no posee extensión; sin embargo, como podemos
observar en la imagen, su cabecera comienza con “00 CF 11 E0”. Esta es
común para los archivos de ofimática, como es el caso
de los famosos archivos de texto con extensión “.DOC”. En consecuencia,
podemos discernir que se trata de uno de este tipo tan utilizado.
En la siguiente tabla podremos encontrar algunas de las cabeceras (headers) más utilizadas, indicando el tipo de extensión correspondiente.
Tipo de Archivo | Cabecera | En ASCII |
---|---|---|
.ZIP | 50 4B 03 04 | PK |
.RAR | 52 61 72 21 | Rar! |
.TAR | 1F 8B 08 00 | |
.TGZ | 1F 9D 90 70 | |
.DOC | D0 CF 11 E0 | ÐÏ.à |
.XLS | D0 CF 11 E0 | |
25 50 44 46 | ||
.WMV | 30 26 B2 75 | |
.FLV | 46 4C 56 01 | FLV |
.BMP | 42 4D F8 A9/ 62 25 / 76 03 | BM, BMp% , BMv |
.GIF | 47 49 46 38 39 61 / 37 61 | GIF89a GIF87a |
.ICO | 00 00 01 00 | |
.JPEG | FF D8 FF E0 / FE | JFIF |
.PNG | 89 50 4E 47 | PNG |
.SFW | 43 57 53 06 / 08 | Cws |
.MP3 | 49 44 33 2E /03 | ID3 |
.EXE | 4D 5A 50 00 /90 00 | MZP / MZ |
.DLL | 4D 5A 90 00 | MZ |
Linux bin | 7F 45 4C 46 | ELF |
-
Archivos comprimidos
En este caso, si analizamos las cabeceras
podemos saber qué tipo de archivo es y además, por ejemplo, si está
protegido con contraseña. En esta caso vemos que en el Offset 0000 tenemos el valor “50 4B 03 04” y en ASCII los strings de PK, indicándonos que coincide con la estructura de un archivo de extensión “.ZIP”.
En caso de que no encuentres la cabecera que
buscas en la tabla anterior, puedes intentar conseguirla desde la
siguiente lista pública que se encuentra en Wikipedia y te proporcionará una mayor cantidad de patrones.
Utilizando herramientas, la manera más sencilla
La segunda opción para desenmascarar archivos
es utilizar alguna herramienta. Podría ser una aplicación que se ejecute
en forma local como TrIDNet, Locate Opener, Smart File Advisor o
Identify!, o aprovechar algún servicio en Internet que realice un
estudio de manera automática, indicando de qué archivo se trata o cuál
sería la extensión más probable (como se puede advertir en la imagen
inferior).
Como es de esperarse, esta última opción no es la recomendada para estudiar archivos de tamaño elevado.
De forma local, podrás utilizar alguna
aplicación de las mencionadas con tal fin. A modo de ejemplo veremos de
qué manera sencilla deberás correr la aplicación de TrIDNet.
Una vez bajada e instalada la aplicación, debemos también instalar sus últimas firmas (actualizadas al 30/09/2015), lo que nos permitirá reconocer más de 6.000 diferentes patrones en cabeceras de archivos.
Seleccionando el objeto a estudiar, y haciendo
clic en la casilla de “Analizar!”, obtendremos los resultados deseados
en cuestión de segundos, indicándonos en este caso la probabilidad más
alta por los patrones encontrados:
Como vemos en la imagen superior, este software detectó tanto la extensión de un archivo de audio como es el .MP3, como de uno de ofimática como es la extensión .DOC.
Fuente:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.