Se echaba en falta otra Beta

Estándar

Pues ya se echaba en falta otra beta de esta herramienta, la cual pasa a ser imprescindible para aquellas personas que se dediquen a diseñar espacios Web.
Estoy hablando de la nueva beta de Internet Explorer Developer Toolbar. Ahora mismo se encuentra en Beta 3, y entre sus características podemos encontrar:

Ver nombres de objeto de clases HTML, paths, IDS…
Validar HTML, CSS, WAI, RSS…
Tamaño de imágenes, path de imágenes, información de directorios…
Redimensionado de la ventana del explorador, para probar diferentes resoluciones, etc..

Y muchas más funcionalidades que de seguro harán las delicias de los diseñadores…

No me hace falta decir que se integra perfectamente con Internet Explorer
Podéis leer más sobre esta herramienta en el blog de IE.

La herramienta para su descarga la podéis encontrar aquí:

Internet Explorer Developer Toolbar Beta 3

Para usuarios de Firefox, tenéis la siempre maravillosa WebDeveloper Extension
1Saludo!

Alternate Data Streams (ADS). Qué es y como funciona

Estándar

Hablando desde el punto de vista NTFS, un fichero no es más que un conjunto de data streams. Un stream por ejemplo, puede contener información acerca del nivel de acceso a ese fichero (directivas ACL, permisos, etc..), otro stream contendrá los datos del fichero en sí almacenados en el contenedor. Si el fichero es un acceso directo o link, un stream puede contener la dirección en donde se ubica el fichero original, etc, etc..
Si por ejemplo leyésemos un fichero en un sistema de archivos que no fuese NTFS, ej: FAT16 o FAT32, el sistema leería tan sólo el stream que contiene los datos del fichero.
La estructura de un fichero con múltipes streams es parecida a esta:

Streams

Aunque muchos piensen que es una falla o Bug del sistema, lo cierto es que ADS no es más que un feature (característica) del sistema, y generalmente se usa para mantener información asociada a un fichero.
Microsoft tiene amplia documentación sobre ADS, en el que se incluye tutoriales, scripts para creación de ADS, etc..

Limitaciones de un ADS

Por defecto cualquier usuario del sistema puede usar esta característica. Tan sólo se limita a aquellos ficheros en los que tengamos permiso de escritura. Es decir, un Administrador, podrá añadir un ADS en prácticamente todos los ficheros del sistema, mientras que un usuario se limitará sólo a los ficheros y directorios en donde tenga acceso de escritura (Por defecto su perfil).
Por defecto ADS sólo está limitado a volúmenes NTFS como hemos visto. A través de red local (LAN) podremos mandar ficheros con ADS, siempre y cuando los volúmenes intermedios tengan el sistema de archivos NTFS.
La limitación teórica es mandar un ADS a través de Internet. Teóricamente no podemos mandar un fichero con ADS (sea malicioso o no), ya que nuestro cliente de correo, el medio (Internet) y el destinatario, sólo mandaría el stream con los datos, sin procesar los demás. A lo largo de este documento podremos ver que en la práctica y bajo una serie de factores, se podría mandar ADS ocultos en un fichero.

No vamos a hablar sobre creación, modificación y eliminación de ADS, porque es una característica ampliamente documentada en la red. Al final de este documento se proporcionarán enlaces a investigaciones pasadas sobre éste tema en concreto.

Microsoft no tiene de forma directa ninguna aplicación para el escaneo ADS. De forma indirecta tenemos dos opciones:

A través del administrador de tareas (taskmgr.exe)

TaskManager

Como se puede comprobar en la imagen adjunta, el Administrador de tareas de XP muestra el proceso ejecutado.
Nota: En versiones anteriores a XP (NT,2K), este proceso de visualización no es del todo transparente. NT y 2K tratan de forma diferente el manejo de los ADS.

A través de la librería StrmExt.dll

Esta librería, añade un nuevo Tab a las propiedades del Explorer, que nos permitirá ver los posibles Streams que pueda tener un archivo, directorio o unidad.
Para añadir un Tab a las propiedades de Explorer descargamos de Microsoft el siguiente código fuente:

NtfSext.exe

Dentro nos encontramos con algunos ejemplos de creación de Streams. El fichero que nos interesará es la librería compilada StrmExt.dll (Se adjunta código fuente de la librería).

La extraemos y la depositaremos en el directorio System32 de nuestro sistema. Acto seguido la registramos en el registro con el siguiente comando:

Regsvr32.exe StrmExt.dll

Una vez ejecutado el comando Windows registrará la librería, y podremos disponer en las propiedades del Explorer de un nuevo Tab para visualizar si un fichero tiene alojado algún Stream.

Tab

Registrando esta librería, conseguimos visualizar el Tab Streams sólo para ficheros. Si queremos que nos muestre el Tab Streams para analizar los streams de alguna unidad (ej. C:) o por ejemplo de algún directorio, tendremos que incluir un par de entradas en el registro.

--------------------No copies esta línea---------------------------
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}]
-------------------No copies esta línea----------------------------

Guarda este fichero como AddTabStream.reg. Clickea dos veces en el archivo que has creado y añadirá las entradas al registro necesarias para añadir el Tab en el explorer.

Para un directorio:

TabDirectory

Para una unidad:

TabUnidad

Escaneo de ADS

Frank Heyne ha desarrollado una herramienta que escanea documentos en busca de ADS. La herramienta en cuestión es LADS.
Su funcionamiento es muy sencillo:

LADS

Si quisiésemos escanear nuestra unidad C: (incluyendo subdirectorios) en busca y captura de ADS, ejecutaríamos un comando tal que:

Lads C:\ /S

Cómo un usuario malicioso podría mandarnos un fichero con ADS? Ejemplo práctico

Hemos explicado antes, que si creamos un archivo con más de un stream de datos (sea malicioso o no), éste sólo será soportado por un sistema que utilice el sistema de archivos NTFS, lo que lo limita sólo a ese campo. No podríamos guardarlo en un pendrive, mandarlo por mail, colgarlo en una Web para su descarga, etc…

El ejemplo que os pongo a continuación, de libre descarga, es una prueba de concepto que demuestra que efectivamente se pueden mandar ficheros que contengan ADS, aprovechando un feature (característica) de una herramienta ampliamente utilizada por usuarios y empresas corporativas. La utilidad de copia de seguridad de Windows (ntbackup).
Esta herramienta sí incluye tanto el fichero como sus streams, lo que la convierte en una gran herramienta para usuarios con perfiles muy distintos:

• Una gran herramienta de copia de seguridad
• Una potencial herramienta para usuarios maliciosos

En el ejemplo (empaquetado en zip) se incluyen estos archivos:
• Un fichero de texto que contiene un stream con código VB inofensivo
• Un archivo Bat para ejecutarlo
• Todo ello va empaquetado en un archivo .bkf (Copia de seguridad)

Sólo tenéis que descargar la copia de seguridad, desempaquetarla en algún directorio y ejecutad el archivo setup.bat.

Descargar Ejemplo Guardar destino como…

Es un archivo inofensivo, a modo de broma, que prueba la capacidad de esta técnica, utilizada hoy en día por muchos virus y troyanos.

Un ejemplo de este tipo de virus, y de aparición reciente, lo podemos visualizar aquí:

Rustock.NAH Descarga otros archivos, utiliza rootkit

Recordad que este riesgo se minimiza en más de un 90% si navegamos y utilizamos nuestro equipo bajo una cuenta con permisos mínimos. Este y otros ejemplos parten sobre la base de un usuario medio navegando e iniciando sesión bajo una cuenta administrativa.

Si queréis saber en mayor profundidad qué es ADS, podéis visitar estas Webs:

Características desconocidas del NTFS. José Manuel Tella

A Programmer’s Perspective on NTFS 2000 Part 1 by Dino Esposito

Hidden Threat: Alternate Data Streams by Ray Zadjmool

Perdiendo el miedo a la pantalla azul (BSOD) 2ª parte

Estándar

Hola chavales!!

Sigamos adentrándonos en el maravilloso mundo de las pantallitas azules… J

Hemos visto cómo analizar un típico crash dump utilizando sólo un par de comandos del debuggeador de Windows (Windbg). El último BSOD mostraba información del driver que causaba el fallo, el tipo de error que daba (DRIVER_IRQL_NOT_…), etc..

Pero qué pasa cuando el pantallazo no nos muestra información relevante? Ni muestra driver que cause el error, ni aplicación, ni tipo de error… Nada. Qué hacemos en este caso? Pues lo mismo. J Con una serie de comandos en el debugeador podremos sacar toda la información que necesitemos para un análisis post-mortem.

En este caso vamos a utilizar de nuevo la aplicación NotMyFault. En este caso vamos a marcar el apartado Stack Trash y pulsamos en Do Bug, con lo que nos debería de salir el siguiente BSOD

 

StackTrash

 

Sabemos por la misma ayuda que nos brinda el debuggeador, que el código de STOP (0X0000008E) se corresponde al error KERNEL_MODE_EXCEPTION_NOT_HANDLED, y que la primera dirección que nos muestra el error (0XC0000005), se corresponde a STATUS_ACCESS_VIOLATION. La misma ayuda nos dice que ha habido una violación en el acceso a memoria. Y todo esto con sólo mirar la ayuda!

 

Cargando el CrashDump en el debugeador, vemos que este no nos muestra nada a simple vista:

 

BugCheck 8E, {c0000005, 0, f3c61b8c, 0}  *** WARNING: Unable to verify checksum for NotMyfault.exe*** ERROR: Module load completed but symbols could not be loaded for NotMyfault.exeProbably caused by : memory_corruption Followup: memory_corruption 

Nos dice que es un error de tipo 8E y que la causa probable es una corrupción de memoria. Toca analizar con el comando !analyze –v

Analizando con este comando, vemos que la salida ya nos va mostrando otras cositas interesantes:

 

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 – La instrucci n en “0x%08lx” hace referencia a la memoria en “0x%08lx”. La memoria no se puede “%s”.

FAULTING_IP:

+0

00000000 ??              ???

TRAP_FRAME:  f3c61b8c — (.trap fffffffff3c61b8c)

ErrCode = 00000000

eax=00000120 ebx=841c53c8 ecx=83360010 edx=83360010 esi=841c53c8 edi=00000000

eip=00000000 esp=f3c61c00 ebp=f3c61c58 iopl=0         nv up ei ng nz na pe nc

cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010286

0008:00000000 ??              ???Resetting default scope DEFAULT_BUCKET_ID:  CODE_CORRUPTION 

BUGCHECK_STR:  0x8E

PROCESS_NAME:  NotMyfault.exe

Nos dice que la causa del cuelgue se podría dar por haber utilizado la aplicación NotMyFault.exe. Pero nuevamente tampoco nos dice nada del driver. Podemos utilizar el comando que utilizamos en la primera parte !thread, para que nos muestre el subproceso que logró colgar a nuestro sistema. Llamando a este comando conseguimos más información, como por ejemplo las llamadas que realizó la aplicación al sistema, así como también nos muestra la IRP:

 

THREAD 842f3610  Cid 0118.0328  Teb: 7ffde000 Win32Thread: e1b11968 RUNNING on processor 0IRP List:    841c53b0: (0006,0094) Flags: 00000000  Mdl: 00000000Not impersonatingDeviceMap                 e183ac28Owning Process            842f2608       Image:         NotMyfault.exeWait Start TickCount      12895          Ticks: 0Context Switch Count      557                 LargeStack

UserTime                  00:00:00.0050

KernelTime                00:00:00.0140

Win32 Start Address NotMyfault (0x00401ccb) 

Llamando al comando !irp <IRP>, este nos muestra el driver que nos faltaba por descubrir:

 

kd> !irp 841c53b0Irp is active with 1 stacks 1 is current (= 0x841c5420) No Mdl: No System Buffer: Thread 842f3610:  Irp stack trace.       cmd  flg cl Device   File     Completion-Context>[  e, 0]   5  0 842f76a8 84153028 00000000-00000000                      *** ERROR: Module load completed but symbols could not be loaded for myfault.sys \Driver\MYFAULT                                   Args: 00000000 00000000 83360010 00000000kd> !irp 841c53b0Irp is active with 1 stacks 1 is current (= 0x841c5420) No Mdl: No System Buffer: Thread 842f3610:  Irp stack trace. 

     cmd  flg cl Device   File     Completion-Context

>[  e, 0]   5  0 842f76a8 84153028 00000000-00000000   

                   \Driver\MYFAULT

                                   Args: 00000000 00000000 83360010 00000000

Nuevamente tenemos a nuestro culpable!!

 Otros comandos que podemos utilizar:

 !cpuinfo.- Muestra información acerca del procesador instalado.

kd> !cpuinfo
CP  F/M/S Manufacturer  MHz PRCB Signature    MSR 8B Signature Features
TargetInfo::ReadMsr is not available in the current debug session
 0 15,2,4 GenuineIntel 1195 0000000d00000000                   80073fff
                      Cached Update Signature 0000002000000000
                     Initial Update Signature 0000000d00000000

!peb.- Válido para comprobar por ejemplo el nombre de equipo, path de instalación, número de procesadores, ruta de instalación, etc…

!token.- Muestra información sobre los objetos de seguridad

.cls.- Igual que la shell de Windows. Limpia la pantalla

 Se puede analizar desde el entorno de comandos (cmd.exe)??

El debuggeador de Windows viene con una herramienta llamada kd.exe, la cual la podemos invocar desde la shell de Windows. Los comandos son prácticamente los mismos, al igual que la información que nos es mostrada por la shell. La forma de invocar un crashdump desde la shell de Windows es la siguiente:

 kd.exe -z “Ruta donde está el volcado de memoria en formato DMP” -y “Ruta donde se encuentran los ficheros de símbolos” -i “Ruta de búsqueda de símbolos”

shell.PNG

Tienes las herramientas para poder hacerlo, y ya sabes cómo enfocar un problema de estas características. Lo único que te queda es practicar!

Saludos!!

 

 

 

Perdiendo el miedo a la pantalla azul (BSOD) 1ª parte

Estándar

Cuando Windows encuentra una sentencia que pueda llegar a comprometer el sistema, éste se para. Esta sentencia se llama KeBugCheckEx. Esta llamada al sistema la podríamos llamar fallo de sistema, error de kernel, STOP, etc.. , y toma 5 argumentos:

  • Código de STOP

  • Cuatro parámetros que indican el código de STOP

Si hemos configurado nuestro sistema para que nos vuelque el contenido de la memoria, éste nos generará un archivo para su posterior análisis. Estos archivos se dividen en:

  • Small Memory Dump.- El más pequeño de todos y el más limitado (en cuanto a investigación). Solo ocupa 64 Kb y en este archivo irá incluida la siguiente información:

    •  
      •  El mensaje de detención, parámetros y otros datos
      • El contexto del procesador (PRCB) para el procesador que se colgó.

      • La información de proceso y contexto del kernel (EPROCESS) del proceso que se colgó.

      • La información de proceso y contexto del kernel (ETHREAD) del thread que se colgó.

      • La pila de llamadas del modo kernel para el subproceso que se colgó.  Si éste tiene un tamaño mayor que 16 Kb, sólo los primeros 16 Kb serán almacenados.

      • Una lista de controladores cargados

      • Una lista de módulos cargados y no cargados

      • Bloque de datos de depuración. Contiene información básica de depuración acerca del sistema.

      • Páginas adicionales de memoria. Windows también almacena estos datos para que así podamos obtener una mayor “versión” de lo que cascó. Esto nos ayudará a identificar mucho mejor el error ya que contienen las últimas páginas de datos a las que señalaban los registros cuando el sistema se colgó.

  • Kernel Memory Dump.- Escribe el contenido de la memoria excepto los procesos.

  • Complete Memory Dump.- Escribe todo el contenido de la memoria.

En muchos casos, la información que viene contenida en un MiniDump, no es suficiente para analizar en profundidad un error. Hace años el espacio en disco podría ser un problema para almacenar este tipo de datos, pero hoy en día esto ya no es un problema. Si queremos analizar mejor el error, configurad vuestro sistema para generar o un volcado de memoria completo (Complete Memory Dump) o un volcado del Kernel (Kernel Memory Dump).

Para configurar el volcado de memoria iremos a Inicio à Ejecutar à sysdm.cpl y pulsaremos Enter.

Una vez dentro nos dirigiremos a la pestaña Configuración, y una vez dentro, en la parte de Inicio y Recuperación pulsaremos Configuración

  

Configuración Volcado de memoria

 

Como podréis ver en la imagen, hemos configurado nuestro Windows de prueba, para que NO reinicie cuando muestre una pantalla de STOP, así podremos ver la pantalla azul en todo su esplendor, y aparte le decimos que cuando muestre una pantalla de error, nos vuelque el contenido completo de la memoria, para que podamos debugearlo, y así practicar!

Y para poder practicar, qué mejor que una maquina virtual no? Podemos instalar una máquina virtual desde 0, o descargarnos una de las muchas imágenes para Virtual PC que podemos encontrar en Microsoft. En cuestión yo utilizaré esta:

http://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en

En el blog también he puesto algunas imágenes en descarga directa con algunas plataformas servidoras, por si queréis descargarlas también.

http://windowstips.wordpress.com/2007/01/18/practica-practica/

Bien. Ya tenemos nuestra máquina virtual funcionando. Hemos configurado nuestro sistema para que nos haga un volcado de memoria completo. Qué hacemos ahora? Esperar? Instalar drivers y aplicaciones hasta que pete por algún lado? J

Como no queremos esperar a tener un BSOD para practicar, Mr. Mark Russinovich, autor de grandes herramientas, principal fundador de la Web Sysinternals y fichado por Microsoft, se ha codeado una herramienta muy chula para que podamos practicar. La herramienta en cuestión se llama NotMyFault.

NotMyFault

Esta herramienta nos ayudará a crear los típicos escenarios que nos podemos encontrar en nuestro trabajo. Esta herramienta carga un driver llamado MyFault.sys, y este es el que va a implementar las diferentes BSOD que nos podemos encontrar.

La herramienta en cuestión la podéis descargar de la siguiente dirección:

 

http://download.sysinternals.com/Files/Notmyfault.zip

También necesitaremos un debuggeador, para poder analizar los volcados de memoria. Utilizaremos el debugeador de Microsoft WinDbg, el cual lo podemos descargar de:

http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx

José Manuel Tella Llop, MVP de Windows, escribió un artículo en su día sobre cómo debíamos comportarnos ante una pantalla azul. El artículo original lo podéis encontrar aquí y nos servirá de guía en todo momento:

http://multingles.net/docs/jmt/bsod.htm

En el artículo de Tella viene cómo instalar tanto las herramientas de debugeo como los símbolos necesarios para poder analizar un volcado de memoria, así como un casque real, a modo de ejemplo, en el que nos muestra la sencillez con la que se saca un error. A partir de aquí asumiremos que tienes instalado WinDbg y tienes configurado correctamente el path de símbolos.

Manos a la obra! Abrimos nuestra máquina virtual, iniciamos nuestro Windows, ejecutamos NotMyFault.exe y pulsaremos la primera opción que viene en el Interface. High IRQL fault (kernel mode). Acto seguido pulsamos en Do Bug.

 

HighIRQL

 

Upppssss. Pantallaco azul al canto. Formateamos el equipo? Reiniciamos? Reinstalamos el sistema operativo? Por qué Windows es tan malo con nosotros?? J

Detengámonos un momento a analizar el BSOD.

Primera pista: DRIVER_IRQL_NOT_LESS_OR_EQUAL 

Explicación: Un driver en modo kernel ha intentado acceder a memoria paginable desde un proceso o aplicación

Causa: Un driver que ha intentado acceder a memoria paginable mientras había una interrupción, o incluso intentó acceder a memoria inválida o no presente.

Efecto: Casque real del sistema. Estamos jodidos…

 

Como podemos ver en el pantallaco azul, éste nos muestra varias cosas que tenemos que tener en cuenta en un primer momento:

  • Nos muestra el BugCheck o mensaje de STOP.
  • Nos muestra el posible causante del fallo (MyFault.sys)

 

Pero como no estamos seguros, vamos a analizar el error debugeando un poquito.

Una vez que el volcado de memoria haya finalizado, reiniciaremos la máquina y en nuestro directorio Windows, tendremos un archivo llamado MEMORY.DUMP, el cual contiene toda la memoria, ejecutables, threads, etc..

En WinDbg, pulsaremos en File à Open Crash Dump (Acordaos del path de los símbolos)

 

Windbg

 

Esto es lo que nos sale en primera instancia:

Use !analyze -v to get detailed debugging information.  BugCheck D1, {e1071800, 1c, 0, f7cda403} *** ERROR: Module load completed but symbols could not be loaded for myfault.sys*** WARNING: Unable to verify checksum for NotMyfault.exe*** ERROR: Module load completed but symbols could not be loaded for NotMyfault.exe

Probably caused by : memory_corruption

Followup: memory_corruption

 

El debugeador nos dice que casi con toda seguridad es una corrupción de memoria. El código del BugCheck es D1 (DRIVER_IRQL_…..)

Microsoft tiene registrado más de 150 posibles códigos de error. Todos ellos podemos encontrarlo en la ayuda de la misma aplicación. Más concretamente en:Debuggin tools for Windows à Debuggin Techniques à Blue Screen à Bug Check Code Reference 

También nos pone que si queremos un análisis más exhaustivo podemos escribir el comando ¡analyze –v. Así que escribimos en kd> el mencionado comando, con lo que obtendremos una respuesta parecida a esta:

analyze

Vaya. Nos da el código exacto de la pantalla azul, el bugcheck reference (D1), los 4 argumentos restantes de la pantalla azul y nos dice que el proceso que cascó es el proceso NotMyfault.exe. Ya tenemos a nuestro culpable, pero no nos dice nada del driver (MyFault.sys) que provoca el casque real.

Cuando el debugeador no nos dice realmente quién es el culpable, y queremos averiguar más sobre dicho casque, podemos hacer varias cosas:

Ejecutar el comando ¡Thread

Con el comando ¡Thread conseguimos que nos muestre qué llamadas hizo el subproceso en el sistema.

Llamando al comando ¡Thread, el debugeador nos muestra las siguientes líneas:

 

kd> !threadTHREAD 842f6600  Cid 049c.04ac  Teb: 7ffdf000 Win32Thread: e1a99168 RUNNING on processor 0IRP List:    8428cc98: (0006,0094) Flags: 00000000  Mdl: 00000000

 

WARNING: Stack unwind information not available. Following frames may be wrong.f3eb4c58 80579a8a 841d8f18 8428cc98 842b6ad0 myfault+0×403

He señalado en negrita lo más característico de estas líneas.

El proceso NotMyFault.exe hace una serie de llamadas, hasta que una pone en peligro la estabilidad del sistema. En nuestro caso es:

f3eb4c58 80579a8a 841d8f18 8428cc98 842b6ad0 myfault+0×403

Una vez que realiza la llamada, el sistema nos avisa de que la pila posiblemente esté corrompida y que los frames pueden estar corruptos.

WARNING: Stack unwind information not available. Following frames may be wrong.También nos muestra la IRP (The I/O request packet) que solicitó.IRP List:    8428cc98: (0006,0094) Flags: 00000000  Mdl: 00000000 

Con lo que tendríamos que llamar a esa IRP para que nos muestre el contenido de esa IRP.

kd> !irp 8428cc98Irp is active with 1 stacks 1 is current (= 0x8428cd08) No Mdl: No System Buffer: Thread 842f6600:  Irp stack trace.       cmd  flg cl Device   File     Completion-Context>[  e, 0]   5  0 841d8f18 842b6ad0 00000000-00000000                       \Driver\MYFAULT

                                   Args: 00000000 00000000 83360018 00000000

 

Ya tenemos a nuestro culpable. El driver MYFAULT.SYS.

También podremos ver los procesos que actualmente corrían en esa máquina antes del casque, con el comando ¡process 0 0. La salida es parecida a esta:

kd> !process 0 0**** NT ACTIVE PROCESS DUMP ****PROCESS 843cab98  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000    DirBase: 00039000  ObjectTable: e1000d68  HandleCount: 232.    Image: System 

PROCESS 841d8550  SessionId: none  Cid: 0134    Peb: 7ffdf000  ParentCid: 0004    DirBase: 091af000  ObjectTable: e1007790  HandleCount:  21.    Image: smss.exe

.

.

.

En la segunda parte podremos analizar de igual manera un pantallazo azul que no nos diga a simple vista nada, un cuelgue de Windows en el que el sistema se congela literalmente, etc..

Dona a ninemillion.org con cada búsqueda

Estándar

Windows Live junto con el Alto Comisionado de las Naciones Unidas para los Refugiados, han lanzado un proyecto a nivel mundial por el que Microsoft donará un centavo de dólar a la organización http://ninemillion.org/ por cada búsqueda que se haga a través del buscador http://search.live.com/. La iniciativa durará desde ayer 17 de Enero hasta el próximo 25 de Marzo.

Se ha creado una versión especial de la página de búsqueda en http://click4thecause.live.com/, pero la puede usarse cualquier sistema que acabe realizando la búsqueda en dicho motor. 

Visto en el blog del Cervi

Actualízate!

Estándar

Aquí tenéis un resumen referente a los boletines de seguridad del año 2006 con sus correspondientes updates.

Estas imágenes contienen actualizaciones para los siguientes sistemas operativos:

  • Windows Server 2003 (32-bit x86) – 18 idiomas
  • Windows Server 2003 x64 Edition – 2 idiomas
  • Windows Server 2003 para sistemas basados en Itanium – 4 idiomas
  • Windows XP – 24 idiomas
  • Windows XP x64 Edition – 2 idiomas
  • Windows 2000 – 25 idiomas

Enero 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB908519 Referente a (MS06-002)

KB912919 Referente a (MS06-001)

Imagen para descarga

Imagen Actualizaciones Enero 2006

Febrero 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB901620 Referente a MS06-004

KB911565 Referente a MS06-005

KB911564 Referente a MS06-006

KB913446 Referente a MS06-007

KB911927 Referente a MS06-008

KB901190 Referente a MS06-009

Imagen para descarga

Imagen Actualizaciones Febrero 2006

Marzo 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB914798 referente a MS06-011

Imagen para descarga

Imagen Actualizaciones Marzo 2006

Abril 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB911565 Referente a MS06-005  

KB912812 Referente a MS06-013

KB911562 Referente a MS06-014

KB908531 Referente a MS06-015

KB911567 Referente a MS06-016

KB908981 Referente a MS06-017

Imágenes para descarga

Revisiones KB908531, KB911562, KB911565, KB911567 aplicables a Windows XP
 
Windows-KB913086-200604-1.iso

Revisiones KB908531, KB908981, KB911562, KB911567 aplicables a Windows Server 2003

Windows-KB913086-200604-2.iso

Revisiones KB908531, KB911562, KB911567 aplicables a Windows 2000

Windows-KB913086-200604-3.iso

Revisión KB912812 aplicable a Windows 2000 y Windows Server 2003

Windows-KB913086-200604-4.iso

Revisión KB912812 aplicable a Windows XP

Windows-KB913086-200604-5.iso

Mayo 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB913433 Referente a MS06-020

KB913580 Referente a MS06-018

Imágenes para descarga

Imagen Mayo 2006 Actualizaciones

Junio 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB914798 Referente a (MS06-011)

KB916281 Referente a (MS06-021)

KB918439 Referente a (MS06-022)

KB917344 Referente a (MS06-024)

KB917734 Referente a (MS06-024)

KB911280 Referente a (MS06-25)

KB914389 Referente a (MS06-030)

KB917736 Referente a (MS06-031)

KB917953 Referente a (MS06-032)

KB914784

Imágenes para descarga

Actualizaciones KB911280, KB914389, KB917344, KB917734, KB917736, KB917953 aplicables a Windows 2000

Windows-KB913086-200606-1.iso

Actualizaciones KB911280, KB914389, KB914784, KB917344, KB917734, KB917953, KB918439 aplicables a Windows Server 2003

Windows-KB913086-200606-2.iso

Revisiones KB911280, KB914389, KB914784, KB917344, KB917734, KB917953, KB918439, KB914798 aplicables a  Windows XP

Windows-KB913086-200606-3.iso

Revisiones KB916281 y KB918439 aplicables a Windows 2000 y Windows XP

Windows-KB913086-200606-4.iso

Revisiones KB916281 aplicables a Windows Server 2003

Windows-KB913086-200606-5.iso

Julio 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB911280 Referente a MS06-025

KB917283 Referente a MS06-033

KB917537 Referente a MS06-034

KB917159 Referente a MS06-035

KB914388 Referente a MS06-036

Imágenes para descarga

Windows-KB913086-200607.iso

Agosto 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB921883 Referente a (MS06-040)

KB920683 Referente a (MS06-041)

KB918899 Referente a  (MS06-042)

KB920214 Referente a (MS06-043)

KB917008 Referente a (MS06-044)

KB921398 Referente a (MS06-045)

KB922616 Referente a (MS06-046)

KB920958 Referente a (MS06-049)

KB920670 Referente a (MS06-050)

KB917422 Referente a (MS06-051)

Imagen para descarga

Revisiones KB917422, KB920670, KB920683, KB921398, KB921883, KB922616 aplicables a Windows 2000 y Windows Server 2003; KB917008, KB920958 aplicables a Windows 2000; KB920214 aplicables a Windows Server 2003

Windows-KB913086-200608-1.iso

Revisiones KB917422, KB920214, KB920670, KB920683, KB921398, KB921883, KB922616 aplicables a  Windows XP

Windows-KB913086-200608-2.iso

Revisión KB918899 para Internet Explorer

Windows-KB913086-200608-3.iso

Septiembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB921883 (MS06-040)

KB918899 Referente a (MS06-042)

KB919007 Referente a (MS06-052)

KB920685 Referente a (MS06-053)

Imagen para descarga

Actualización KB918899 para Internet Explorer

Windows-KB913086-200609-1.iso

Actualizaciones KB920685 aplicables a Windows 2000, Windows XP y Windows Server 2003; KB921883 para Windows XP y Windows Server 2003; KB919007 para Windows XP

Windows-KB913086-200609-2.iso

Octubre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB922770

KB923191

KB924191

KB923414

KB922819

KB924496

Imagen para descarga

Imagen Actualizaciones Octubre 2006

Noviembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB923980 Referente a (MS06-066)

KB922760 Referente a (MS06-067)

KB920213 Referente a (MS06-068)

KB923789 Referente a (MS06-069)

KB924270 Referente a  (MS06-070)

KB927977 Referente a (MS06-071)

KB927978 Referente a (MS06-071)

Revisiones KB920213, KB923980, KB924270, KB927977, KB927978 aplicables a Windows 2000 y KB922760 para Internet Explorer para Windows 2000

Windows-KB913086-200611-1.iso

Revisiones KB920213, KB923980, KB927977, KB927978 aplicables a Windows Server 2003 y KB922760 para Internet Explorer para Windows Server 2003

Windows-KB913086-200611-2.iso

Revisiones KB920213, KB923789, KB923980, KB924270, KB927977 y KB927978 aplicables a Windows XP; KB922760 para Internet Explorer para Windows XP, y KB927978 para Windows Vista

Windows-KB913086-200611-3.iso

Diciembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB925454 Referente a (MS06-072)

KB926247 Referente a (MS06-074)

KB926255 Referente a (MS06-075)

KB923694 Referente a  (MS06-076)

KB926121 Referente a (MS06-077)

KB923689 Referente a (MS06-078)

KB925398 Referente a (MS06-078)

Imágenes para descarga

Revisiones KB923689, KB923694, KB925398, KB926121, KB926247 aplicables a Windows 2000; KB925454 para Internet Explorer para Windows 2000

Windows-KB913086-200612-1.iso

Revisiones KB923689, KB923694, KB925398, KB926247, KB926255 aplicables a Windows Server 2003; KB925454 para Internet Explorer para Windows Server 2003

Windows-KB913086-200612-2.iso

Revisiones KB923689, KB923694, KB925398, KB926247, KB926255 aplicables a Windows XP; KB925454 para Internet Explorer para Windows XP

Windows-KB913086-200612-3.iso

How To: Bloquear lista de Webs en ISA 2006

Estándar

En esta ocasión veremos lo difícil y complicado que resulta bloquear una lista de Webs a los usuarios de nuestro dominio con ISA Server 2006.

En primer lugar, accederemos al administrador del servidor ISA Server, tal y como aparece en la imagen

Administrador del Servidor

 

Una vez que accedamos a la consola de administración, nos situaremos en la pestaña directiva de firewall. Una vez que accedamos a dicha pestaña, nos debe de aparecer en la parte derecha de nuestra consola, tres pestañas más, las cuales son Herramientas, Tareas y Ayuda. Tipearemos sobre la pestaña Herramientas, buscaremos el folder Conjunto de direcciones URL, y con el botón derecho del ratón, marcaremos la opción Importar todos, tal y como se muestra en la imagen siguiente

 ImportUrlsISA

Acto seguido nos saldrá el asistente para importación que nos ofrece ISA Server. 

 Asistente Importación ISA Server

Para que vayáis probando, he modificado la lista de Webs que ofrece el artículo escrito por Greg Mulholland y publicado en la Web isaserver.org. El artículo original, escrito y diseñado para ser utilizado en ISA Server 2004 está aquí:

http://www.isaserver.org/articles/2004firewallblocklist.html

Este archivo XML está modificado para ser utilizado en ISA Server 2006

BlackList (Guardar destino como…)

Una vez importada nuestra lista maligna de URLS, procederemos a crear la regla pertinente. Para ello, nos dirigiremos nuevamente sobre directiva de firewall, y con el botón derecho del ratón pulsaremos Nuevo -> Regla de acceso

Regla de Acceso

El funcionamiento de una regla de acceso es muy sencillo, y podremos “complicarlo” tanto como queramos.

El primer paso del asistente es crear un nuevo nombre para esa regla de acceso. Yo por ejemplo la he llamado DenyUrlList.

La segunda acción de la regla nos permite elegir entre si queremos permitir o denegar dicha función. Como no queremos que estas Webs sean accesibles desde nuestro domain, pulsaremos en denegar.

Protolos seleccionados. Aquí cada maestrillo tiene su librillo :). Depende de lo que tengamos en esta lista de Webs, podremos elegir uno u otro. En esta regla he elegido tanto HTTP, como HTTPS como FTP. Tan solo tendremos que agregar los protocolos que consideremos necesarios y que afecten directamente a la lista de URLS que tengamos.

 Protocolos Seleccionados

La siguiente pregunta que nos formulará el asistente es cómo se va a aplicar la regla. La regla tiene un origen y un destino. Como no queremos que ningún usuario de nuestro domain pueda accesar lícita o ilícitamente a ninguna de estas direcciones, el origen de nuestra regla es Toda la red interna (englobando tanto el host local como la red VPN si tuviésemos alguna), así que nos quedaría de la siguiente forma:

 Origen de la regla

Y la regla la aplicamos cuando nuestras peticiones internas sean enviadas a las direcciones que tengamos en nuestra lista negra. Con lo que nos quedaría:

 BlackList

Para quién es válida esta regla? Depende de cómo tengamos configurado nuestro ISA pondremos una lista de usuarios, todos los usuarios, todos los autenticados, etc..

En mi caso, ya que mi ISA está bajo un dominio, y quiero que todos los usuarios del dominio no accedan a este tipo de URLS, he puesto, todos los usuarios autenticados.

Finalizaremos el asistente, actualizaremos nuestras reglas de acceso y acto seguido podréis comprobar y hacer las pruebas pertinentes con la regla de acceso.

Con este tip pretendo también que comprobéis lo fácil que le resultaría a un administrador de ISA 2004, migrar a ISA 2006. El funcionamiento es básicamente idéntico al anterior, como podréis comprobar leyendo el artículo de isaserver y este conjuntamente.

Y dicho lo dicho… Todavía os parece difícil securizar vuestra red? La tecnología está ahí.. Y ya no puedes decir que no sabes hacerlo… :)

1Saludo!

Practica Practica!!

Estándar

Os dejo unas máquinas virtuales en descarga directa por parte de Microsoft para que las descarguéis, montéis, practiquéis y disfrutéis… (Cuantos éis!! :))

Windows server 2003 R2 Enterprise Edition

http://www.microsoft.com/downloads/details.aspx?FamilyID=15609c1e-dc8f-43c0-a7c6-30ca07e38fd3&DisplayLang=en

SQL Server 2005

http://www.microsoft.com/downloads/details.aspx?FamilyID=558f3ece-6509-45e9-8d60-25175848a8b7&DisplayLang=en

Exchange Server 2007

http://www.microsoft.com/downloads/details.aspx?FamilyID=6e6501f6-481a-4117-bc22-c745400bcda0&DisplayLang=en

Isa Server 2006

http://www.microsoft.com/downloads/details.aspx?FamilyID=708e826a-9dd9-4327-bf49-5a8fa5e53ab3&DisplayLang=en

Guía DNS

http://www.microsoft.com/downloads/details.aspx?familyid=15D276A5-4BF6-4ADD-9F67-56B38CCB576B&displaylang=en

Otra guía DNS del gran Sauron

http://dmatey.spaces.live.com/Blog/cns!3B6FB47901ABC772!1687.entry

Con esto tendréis un 2003 Server, un SQL Server, un Exchange Server y un ISA Server como servidor de seguridad, proxy,etc..

 Para instalar las máquinas virtuales os podéis descargar de forma gratuita la Virtual PC de Microsoft

http://www.microsoft.com/downloads/details.aspx?FamilyId=6D58729D-DFA8-40BF-AFAF-20BCB7F01CD1&displaylang=es

Y todo a golpe de ratón…. :)