El diario de Juanito

Las líneas de negocio están para eso, para abrir negocio donde antes no lo había, o había poco. Se puede destruir empleo por un lado, pero lo que sí es seguro es que generará empleo por el otro lado.

Pero todas las líneas de negocio existentes se van a tomar por el ·@%%&&.  Porque llega el articulazo del siglo. Donde esté un ordenador barato, que se quite uno potente.

Reflexionemos un poco…

Microsoft hace sistemas operativos y sus programas cada vez más pesados, que necesitan cada vez más recursos del sistema. Así todos son felices. Microsoft vende sus sistemas operativos, sus Office, etc, y, como los computadores en un momento determinado no los corren bien, la gente migra más rápidamente a procesadores más rápidos para correr estos programas. Así viene pasando desde Windows 95.

El problema, y el fracaso de Vista, es que ahora las cosas son un poco diferentes…

Por un lado, Vista exageró demasiado en cuanto a los recursos que necesita, no pudiendo correr sino solo en los procesadores más avanzados, impidiendo de esta manera las actualizaciones de XP a Vista. Era necesario comprar una máquina nueva y costosa. Por otro lado, XP sigue siendo suficientemente bueno y no justifica comprarse un nuevo computador para poder disfrutar de Vista.

Sí, sí, sí, sí…. Spectra es malísima. Muy mala. Una cabrona vamos. Cada día hace sus programas más gordos (Creo que les dan harina y maizena), que necesitan más recursos y todos felices. Como los equipos antiguos no pueden, pues a comprar hardware nuevo.

Vista es un fracaso. Y del bueno te digo yo.

O sea, a ver si lo he entendido. Que donde esté un Windows95 o una mini-distribución de Linux, que se quiten las demás. Que donde esté mi procesador 486, que se quiten los demás. Porque todavía tengo uno en casa y le podría instalar un Windows 95. Creéis que ligaría en un bar si le digo a una chica que he instalado un Windows 95 en un 486… Y que funciona?

Me lloran los ojitos porque leo por primera vez en la ciudad de los Krispis que XP sigue siendo suficientemente bueno…. Se estarán pasando poco a poco al lado del mal?

Huelo a conspiración….

Por otro lado, dado el enorme poder de los microprocesadores de hoy, pueden aparecer computadores muy baratos (de menos de $300) y no tan potentes, pero que pueden hacer todo el trabajo cotidiano de oficina (procesador de palabras, hojas de cálculo, presentación gráfica, etc), además de navegar por Internet, correo, mensajería instantánea, etc.

Estos computadores baratos pueden trabajar bien con un sistema operativo no tan pesado como Vista. Funcionan bien con XP o Linux. Y aquí es donde está el problema de Microsoft y la industria en general.

Los computadores pobres de hoy en día pueden hacer el 99% del trabajo cotidiano de oficina y del hogar. ¿Para qué comprarse lo último?. En la mayoría de los casos no se justifica.

Entonces tenemos dos extremos. Por un lado, un computador muy sencillito pero que puede ejecutar el 99% de las cosas, y por el otro, uno muy poderoso (necesario para alimentar a Windows Vista).

En cuanto al primer párrafo no tengo problemas. Es totalmente cierto. Tengo en casa otro PC con 512 RAM y procesador de 1GB y rula con Debian y XP de maravilla. Pero sigo sin ver el problema.

Spectra tiene, para aquellos que se quieran dejar engañar, porque es muy mala, una página dedicada a esos equipitos que no llegan al mínimo para poder acostarse con Vista, y son los llamados Vista Capable.

Lo de los dos extremos me queda muy clarito.

Microsoft se ve forzado a prolongar el XP porque de no hacerlo pierde el mercado de los computadores más sencillos, mercado que crecerá mucho en los próximos años.

No hay aplicaciones que usen tanto poder proveniente de los microprocesadores de hoy. Solo Windows Vista, los juegos y el procesamiento y edición de video, pero en pocos años, todo procesador, hasta el más pobre será capaz de manejar estas cosas. Así que el extremo de computadores muy poderosos, para uso personal tenderá a morir, quedando sólo los computadores económicos de menos de $200. Nadie necesitará un procesador de 16 núcleos, porque no habrá aplicaciones que necesiten tanto poder (para uso personal).

Este inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico del clima y otras similares, pero nunca una persona en su procesador de palabras, hoja de cálculo o incluso editando video.

Una alternativa para el uso de tanto poder, que es válida incluso hoy en día (en donde un procesador con 2 núcleos de 2 Ghz es mucho más de lo que se necesita en tareas cotidianas) sería que el computador tuviera 2 ó 4 salidas de video, y sus teclados y ratones respectivos. Así un computador manejaría 4 usuarios simultáneamente.

Un computador Core Duo está el 99% del tiempo sin uso, así que con los 4 usuarios estaría de una manera muy similar, y los 4 sentirían todo el poder para cada uno de ellos como si los demás no existieran (salvo en algún que otro momento en donde habría pequeños cuellos de botella).

Si se configura Linux para manejar estos 4 usuarios simultáneamente en un computador, sería el final de Windows, porque con sólo añadirle unas cuantas tarjetas de video (con sus respectivos controladores de teclado y ratón) se abaratarían los costos del computador para las empresas, escuelas, etc: 1 computador $400 + 4 tarjetas de video sencillas $25 c/u dan un total de $500, dividido entre cuatro personas, sale a $125 por “terminal”.

Spectra es que es así. Se acojona y tiene que prolongar un producto. A mi también me lo dijo un primo de la novia de un amigo mío. Lo que no me dijo el primo de la novia de un amigo mío es que en la página de soporte de Spectra, tienes todos los datos de soporte, y de ahí es de donde se sacan los DATOS. Si quieres mirar hasta cuando vas a tener soporte (normal y extendido) te puedes pasar para recabar datos malignos. Los tienes para Windows XP e incluso para Windows Vista, así seguro que tienes datos para vaticinar el fin de Windows Vista. Pero claro, eso a una empresa se la repamplinfa. Se la suda que un Windows tenga un soporte de casi 14 AÑOS. Donde esté un Ubuntu licenciado con soporte a 3 años que se quite lo demás. Que me llega una incompatibilidad con una aplicación en mi Ubuntu? pues nada. O MIGRO a una distribución más novedosa, o tiraré de FOROS. Ya estoy viendo un problema de nivel 5 (O sea jodidísimo para la empresa), el soporte Server Ubuntu que se ha terminado (5 añitos), y el SysAdmin de la empresa poniendo todos sus recursos en un forero de 17 años. Qué hijadeputa es Spectra que te da casi 14 AÑOS para que te plantees una migración, te planta los Virtual Lab para que te vayas haciendo a la idea, los recursos para profesionales como los WebCast. Además son malísimos, porque si te has perdido uno, te los graban!

Y claro, el inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico de clima….. Y para  predecir el futuro creo…. Esto es gracioso, porque yo tengo un procesador de 1GB en casa, pero mi tía que quiere el ordenador para llevar sus tareas de costura “al día”, se fue a comprar un equipo, y de menos de dos núcleos no había nada…. Aunque claro, también se puede pasar por DELL y comprar un Ubuntu de igual precio y menores características.

Sobre los dos últimos párrafos…. No comment…. Este no sabe lo que es un AS/400, ni SAP, ni Operations Manager, ni IBM Tivoli Security Operations Manager, ni SMS, ni Dynamics…

O sea, que a ver si no lo he entendido tampoco. Un equipo antiguo, pongámosle (512/256 RAM con un Pentium IV) y un cliente de correo electrónico, la consola de SAP que conecta con un servidor (Ya sabes, definido en el Saplogon.ini), la consola 5250 del AS/400, el office (Word, Excel, PPT, etc..) y accediendo en todo momento a recursos compartidos (Para tenerlo todo un pelín más seguro) va de puta madre no? Y ya no digo de puta madre (que puede ir según el caso y la metodología de trabajo de cada uno), sino que irá de puta madre repartiendo recursos en 4 pantallas tontas. Que eso de la inversión y el reciclado de equipos es una panacea y no vale para nada. Que es preferible un equipo que “gaste” 256 de RAM y los otros 256 de RAM que me sobran (si es que tiene de sobra) lo tengo “por si las moscas”. Windows Vista gasta más RAM porque el acceso a ella es MAS RÁPIDO, así deja al disco tranquilo para que nos dure más. Eso de los discos duros híbridos con una memoria de precarga es otra panacea. Otro sacaero de dinero.. Total, el acceso a disco según tú es más rápido que el acceso a RAM. Si se peta seguro que es por un “cuello de botella”.

El otro día instalé un IIS 6 en un W2k3 en un PIII con 256 de RAM, un SQL Server 2000 como motor de BBDD y que servía una pequeña Web. Según tú, si me llama el cliente, le diré que cuando el servidor deje de servir páginas con rapidez, será por un “cuello de botella”… O también le puedo decir que los cuellos de botella empiezan cuando haya más de 15 usuarios en paralelo pidiendo servicios…

Microsoft no podría competir con esto. Primero su Windows Vista está hecho para consumir muchos recursos (y producir una obsolescencia planificada de todos los computadores), no sirve para computadores económicos. Por otro lado, a Microsoft no le interesaría vender una sola licencia de XP, por ejemplo, para que 4 usuarios manejen sus “terminales”, sino más bien una licencia por cada terminal. Sin embargo, Linux, que es liviano, y puede manejar estos 4 usuarios no tiene ningún problema, y con computadores tan baratos como $125 por persona, no tiene competencia en empresas, escuelas, cybercafés, etc.

Aquí sólo te puedo decir una cosa. En la Universidad tenemos Windows NT y solaris del año de la castaña, y una de las prácticas de Redes era conectar dos Windows 98 a través de una red AdHoc… La práctica de Linux era conectar varios equipos a través de recursos compartidos por Samba. En definitiva, sales con una base cojonuda para la vida real, y los ingenieros están preparados para afrontar un nuevo reto (pasar de una práctica con un Windows98 y WinNT, a un problema en la vida real en un entorno heterogéneo Win-Linux en sus últimas versiones).

En definitiva, creo que esta nueva línea de negocio, hará por fin que el departamento HelpDesk deje de recibir llamadas del tipo “Mi ordenador va lento”, “Se me traba”, “Esto va como cámara lenta”, etc…

Y ya dejo de escribir, porque me lloran los ojitos….

En definitiva, que nos hemos equivocado, y como quiero redimirme, cuelgo aquí la fotografía que me pasó mi hermano Maligno cuando estuvimos en el Asegur@IT II que se celebró en BCN. Como diría el Trianero….

Va por ustedes…

 Fotografía del evento (Renombrar PDF por HTML si la queréis guardar de recuerdo)

1Saludo!!

En todo análisis forense, se debe atender a un orden de volatilidad. Los datos contenidos en la memoria RAM y el archivo de paginación están en los primeros puestos de este orden. Por esto mismo, es por lo que muchas empresas que se dedican al forense informático, en muchas de sus variantes, deciden prescindir de investigar lo que hay en RAM, para dedicarse a otra información menos volátil, como por ejemplo el contenido del disco duro. El problema viene cuando sólo tenemos como pruebas un volcado de memoria (DUMP) o un archivo de paginación (pagefile.sys).

En este artículo y en el siguiente, haré mención a las herramientas que tenemos a día de hoy para analizar un volcado de memoria RAM (DUMP).

A día de hoy, pienso que la memoria RAM es de vital importancia en una investigación, ya que entre otras cosas, podremos encontrarnos con lo siguiente:

• Procesos en ejecución
• Procesos en fase de terminación
• Conexiones activas (TCP-UDP)
• Ficheros mapeados (Drivers, Ejecutables, Ficheros)
• Objetos en caché (HTML,JavaScript,Passwords)
• Elementos ocultos (Rootkits)

Como en toda investigación, la información que podamos recopilar depende de muchos factores, tales como el sistema operativo, el TimeLive de la máquina y lógicamente, el tamaño de la memoria RAM. Pongamos como ejemplo a Windows Vista y Windows XP. Windows Vista maneja de forma diferente los datos en memoria RAM. Utiliza mucho el acceso a RAM, para no cargar tanto al disco duro, ya que el acceso a memoria RAM es mucho más rápido que el acceso a disco. Windows XP no carga tanto la RAM, y en cambio utiliza mucho más el archivo de paginación.

Dependiendo del sistema operativo tendremos más o menos herramientas para realizar búsquedas. En este artículo mostraré una para Windows 2000, y que se llama memparser.

Memparser es una herramienta creada a raíz de un reto forense y desarrollada por Chris Betz. Antes de desarrollar la herramienta en cuestión, tuvo que debuggear un kernel de un Windows 2000 SP4 para buscar similitudes, identificar estructuras, y analizar el código resultante del debugging.

Cada proceso en Windows 2000 es representado por un bloque ejecutivo de proceso (Executive Process). Cada bloque representa a un proceso y contiene estructuras y datos relacionados con ese objeto. En la memoria también residen los hilos que crean estos procesos (ETHREAD), tokens de acceso, Kernel Process (KPROCESS), el cual tiene información sobre el tanto por ciento del kernel utilizado por cada proceso, etc…

La herramienta en cuestión busca lo siguiente:

• EPROCESS
• Objetos de Kernel
• Drivers
• Contenido de memoria

De todas las herramientas que hay, esta es la más completa de todas, ya que podremos desde listar los procesos que hay en un volcado de memoria, hasta por ejemplo sacar el contenido de la memoria del ejecutable, y con el que podremos, por ejemplo, buscar posibles restos de malware.

En sucesivos artículos, repasaremos las diferentes opciones que tenemos para otros sistemas operativos.

Enlaces

Memparser (SourceForge)

Inside Microsoft Windows 2000 Third Edition

Todavía me acuerdo cuando allá por el año 2001 decía la gente…
“Windows XP no se va a comer nada en el mercado! Si necesita mucha RAM!! Tú has visto los requerimientos de XP? Yo ya lo he probado y en mi equipo va lentísimo!”
Recuerdo que en mi clase había Win2k y recién habíamos descubierto las herramientas de sysinternals.. Te acuerdas chache??
En finnnnnnnn. Los requerimientos los podéis ver en esta página:

Requerimientos para upgradear a Windows XP

Esta mañana me he encontrado una Web muy curiosa que dice tener 10 razones para no upgradear a Windows Vista, así que vamos a ver que perlitas nos cuentan estos chicos…

Steep Hardware Requirements - If you’re barely limping along in XP, then you’re going to have to put visions of Aero and Windows Meeting Spaces out of your head. It’s more than having a fast enough CPU and enough RAM. There are implications in the drivers, peripherals and video cards that you use that you have to consider. Microsoft has a page with tools that offer some guidance.

Joder pues yo debo de ser el único capullo que ha instalado Vista en un PIV con 512 MB de RAM y me lo ha detectado todo… A la primera!! Y ya es bastante raro que la gente tenga 512 MB de RAM en sus PC y discos de más de 80 GB. La gente suele tener en sus hogares PII o PIII con 64 MB de RAM. Claro, como están tan caras las RAM, discos duros, placas, procesadores, etc…

Be Prepared for Downtime - Completely upgrading an operating system takes time. You’ll want to perform a complete backup first and check it, then expect the upgrade itself to take a couple of hours. After you’re up and running in Vista, you’ll spend time configuring everything and making sure your applications are working as they should. If you don’t have at least two full days to devote considerable time to the upgrade, you should take a pass and wait until you purchase new hardware with the operating system preinstalled.

Vista se instala en menos de 30 minutos… Y ya es completamente FUNCIONAL… A lo mejor es que no ha oído hablar en su vida del SuperFetch en Vista! Pues SuperFetch es un duendecito que está dentro de Vista y su función es la de administrar la memoria para que tú obtengas un mayor rendimiento posible de ella, es decir, explota sus cualidades, que para eso están no? Si tienes 512 MB de RAM, utilízalas no? Y si quieres más RAM tienes EMD, con el que podrás utilizar de RAM ese pendrive USB que tanto te mola!
Claro… Que tampoco sabrán qué es el prefetch en Windows XP
http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpperf.mspx

Let Others Work Out the Bugs, You Have Real Work to Do. Despite years and years of development and testing, there will be bugs and there will be things that need fixing. There will inevitably be a Service Pack 1 that squashes those issues that are most annoying. Why not wait until other people have spent time banging their heads against their desks while on deadline? Besides, the chances are better that you’re collaborating with folks running XP anyway.

Jajaja. Qué tío más egoísta.. Sin palabras… Con esa opinión nunca instalará nada. La tecnología no te esperará nunca!

You Can’t Upgrade to a Fresh Drive - There’s something nice about a fresh slate. A Vista upgrade must be installed over an existing Windows install. So an attempt to upgrade Vista on an unstable XP system may make a bad situation worse. Either spring for a full version of Vista so you can wipe your drive clean and start fresh, or perform the clean install of XP first and upgrade Vista from there.

Ole ahí!! Todavía dando el consejo de que se podría actualizar a Vista desde un XP inestable… Y de que podría dar problemas! Toda una razón oye…

En fin.. Si lo queréis ver al completo os dejo el link

http://webworkerdaily.com/2007/01/31/10-reasons-for-the-windows-web-worker-to-upgrade-to-vistaor-not/

Como dice un amigo mío, las opiniones son como los culos, todos tenemos uno. Quizás para este Web-Developer, le sea más conveniente esperar unos cuantos meses para instalar Vista, pero algunas de las razones que da, distan mucho de ser las correctas.
Cuidado de quién os dejáis aconsejar!

A continuación os paso Webs TECNICAS de Windows Vista todo en el idioma de Cervantes…

http://winvista.mvps.org/

http://geeks.ms/blogs/vista-tecnica/default.aspx

1Saludo gañanes!

Hablando desde el punto de vista NTFS, un fichero no es más que un conjunto de data streams. Un stream por ejemplo, puede contener información acerca del nivel de acceso a ese fichero (directivas ACL, permisos, etc..), otro stream contendrá los datos del fichero en sí almacenados en el contenedor. Si el fichero es un acceso directo o link, un stream puede contener la dirección en donde se ubica el fichero original, etc, etc..
Si por ejemplo leyésemos un fichero en un sistema de archivos que no fuese NTFS, ej: FAT16 o FAT32, el sistema leería tan sólo el stream que contiene los datos del fichero.
La estructura de un fichero con múltipes streams es parecida a esta:

Aunque muchos piensen que es una falla o Bug del sistema, lo cierto es que ADS no es más que un feature (característica) del sistema, y generalmente se usa para mantener información asociada a un fichero.
Microsoft tiene amplia documentación sobre ADS, en el que se incluye tutoriales, scripts para creación de ADS, etc..

Limitaciones de un ADS

Por defecto cualquier usuario del sistema puede usar esta característica. Tan sólo se limita a aquellos ficheros en los que tengamos permiso de escritura. Es decir, un Administrador, podrá añadir un ADS en prácticamente todos los ficheros del sistema, mientras que un usuario se limitará sólo a los ficheros y directorios en donde tenga acceso de escritura (Por defecto su perfil).
Por defecto ADS sólo está limitado a volúmenes NTFS como hemos visto. A través de red local (LAN) podremos mandar ficheros con ADS, siempre y cuando los volúmenes intermedios tengan el sistema de archivos NTFS.
La limitación teórica es mandar un ADS a través de Internet. Teóricamente no podemos mandar un fichero con ADS (sea malicioso o no), ya que nuestro cliente de correo, el medio (Internet) y el destinatario, sólo mandaría el stream con los datos, sin procesar los demás. A lo largo de este documento podremos ver que en la práctica y bajo una serie de factores, se podría mandar ADS ocultos en un fichero.

No vamos a hablar sobre creación, modificación y eliminación de ADS, porque es una característica ampliamente documentada en la red. Al final de este documento se proporcionarán enlaces a investigaciones pasadas sobre éste tema en concreto.

Microsoft no tiene de forma directa ninguna aplicación para el escaneo ADS. De forma indirecta tenemos dos opciones:

A través del administrador de tareas (taskmgr.exe)

Como se puede comprobar en la imagen adjunta, el Administrador de tareas de XP muestra el proceso ejecutado.
Nota: En versiones anteriores a XP (NT,2K), este proceso de visualización no es del todo transparente. NT y 2K tratan de forma diferente el manejo de los ADS.

A través de la librería StrmExt.dll

Esta librería, añade un nuevo Tab a las propiedades del Explorer, que nos permitirá ver los posibles Streams que pueda tener un archivo, directorio o unidad.
Para añadir un Tab a las propiedades de Explorer descargamos de Microsoft el siguiente código fuente:

NtfSext.exe

Dentro nos encontramos con algunos ejemplos de creación de Streams. El fichero que nos interesará es la librería compilada StrmExt.dll (Se adjunta código fuente de la librería).

La extraemos y la depositaremos en el directorio System32 de nuestro sistema. Acto seguido la registramos en el registro con el siguiente comando:

Regsvr32.exe StrmExt.dll

Una vez ejecutado el comando Windows registrará la librería, y podremos disponer en las propiedades del Explorer de un nuevo Tab para visualizar si un fichero tiene alojado algún Stream.

Registrando esta librería, conseguimos visualizar el Tab Streams sólo para ficheros. Si queremos que nos muestre el Tab Streams para analizar los streams de alguna unidad (ej. C o por ejemplo de algún directorio, tendremos que incluir un par de entradas en el registro.

——————–No copies esta línea—————————
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}]
——————-No copies esta línea—————————-

Guarda este fichero como AddTabStream.reg. Clickea dos veces en el archivo que has creado y añadirá las entradas al registro necesarias para añadir el Tab en el explorer.

Para un directorio:

Para una unidad:

Escaneo de ADS

Frank Heyne ha desarrollado una herramienta que escanea documentos en busca de ADS. La herramienta en cuestión es LADS.
Su funcionamiento es muy sencillo:

Si quisiésemos escanear nuestra unidad C: (incluyendo subdirectorios) en busca y captura de ADS, ejecutaríamos un comando tal que:

Lads C:\ /S

Cómo un usuario malicioso podría mandarnos un fichero con ADS? Ejemplo práctico

Hemos explicado antes, que si creamos un archivo con más de un stream de datos (sea malicioso o no), éste sólo será soportado por un sistema que utilice el sistema de archivos NTFS, lo que lo limita sólo a ese campo. No podríamos guardarlo en un pendrive, mandarlo por mail, colgarlo en una Web para su descarga, etc…

El ejemplo que os pongo a continuación, de libre descarga, es una prueba de concepto que demuestra que efectivamente se pueden mandar ficheros que contengan ADS, aprovechando un feature (característica) de una herramienta ampliamente utilizada por usuarios y empresas corporativas. La utilidad de copia de seguridad de Windows (ntbackup).
Esta herramienta sí incluye tanto el fichero como sus streams, lo que la convierte en una gran herramienta para usuarios con perfiles muy distintos:

• Una gran herramienta de copia de seguridad
• Una potencial herramienta para usuarios maliciosos

En el ejemplo (empaquetado en zip) se incluyen estos archivos:
• Un fichero de texto que contiene un stream con código VB inofensivo
• Un archivo Bat para ejecutarlo
• Todo ello va empaquetado en un archivo .bkf (Copia de seguridad)

Sólo tenéis que descargar la copia de seguridad, desempaquetarla en algún directorio y ejecutad el archivo setup.bat.

Descargar Ejemplo Guardar destino como…

Es un archivo inofensivo, a modo de broma, que prueba la capacidad de esta técnica, utilizada hoy en día por muchos virus y troyanos.

Un ejemplo de este tipo de virus, y de aparición reciente, lo podemos visualizar aquí:

Rustock.NAH Descarga otros archivos, utiliza rootkit

Recordad que este riesgo se minimiza en más de un 90% si navegamos y utilizamos nuestro equipo bajo una cuenta con permisos mínimos. Este y otros ejemplos parten sobre la base de un usuario medio navegando e iniciando sesión bajo una cuenta administrativa.

Si queréis saber en mayor profundidad qué es ADS, podéis visitar estas Webs:

Características desconocidas del NTFS. José Manuel Tella

A Programmer’s Perspective on NTFS 2000 Part 1 by Dino Esposito

Hidden Threat: Alternate Data Streams by Ray Zadjmool

Hola chavales!!

Sigamos adentrándonos en el maravilloso mundo de las pantallitas azules… J

Hemos visto cómo analizar un típico crash dump utilizando sólo un par de comandos del debuggeador de Windows (Windbg). El último BSOD mostraba información del driver que causaba el fallo, el tipo de error que daba (DRIVER_IRQL_NOT_…), etc..

Pero qué pasa cuando el pantallazo no nos muestra información relevante? Ni muestra driver que cause el error, ni aplicación, ni tipo de error… Nada. Qué hacemos en este caso? Pues lo mismo. J Con una serie de comandos en el debugeador podremos sacar toda la información que necesitemos para un análisis post-mortem.

En este caso vamos a utilizar de nuevo la aplicación NotMyFault. En este caso vamos a marcar el apartado Stack Trash y pulsamos en Do Bug, con lo que nos debería de salir el siguiente BSOD

Sabemos por la misma ayuda que nos brinda el debuggeador, que el código de STOP (0X0000008E) se corresponde al error KERNEL_MODE_EXCEPTION_NOT_HANDLED, y que la primera dirección que nos muestra el error (0XC0000005), se corresponde a STATUS_ACCESS_VIOLATION. La misma ayuda nos dice que ha habido una violación en el acceso a memoria. Y todo esto con sólo mirar la ayuda!

Cargando el CrashDump en el debugeador, vemos que este no nos muestra nada a simple vista:

BugCheck 8E, {c0000005, 0, f3c61b8c, 0}  *** WARNING: Unable to verify checksum for NotMyfault.exe*** ERROR: Module load completed but symbols could not be loaded for NotMyfault.exeProbably caused by : memory_corruption Followup: memory_corruption 

Nos dice que es un error de tipo 8E y que la causa probable es una corrupción de memoria. Toca analizar con el comando !analyze –v

Analizando con este comando, vemos que la salida ya nos va mostrando otras cositas interesantes:

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en “0x%08lx” hace referencia a la memoria en “0x%08lx”. La memoria no se puede “%s”.

FAULTING_IP:

+0

00000000 ??              ???

TRAP_FRAME:  f3c61b8c — (.trap fffffffff3c61b8c)

ErrCode = 00000000

eax=00000120 ebx=841c53c8 ecx=83360010 edx=83360010 esi=841c53c8 edi=00000000

eip=00000000 esp=f3c61c00 ebp=f3c61c58 iopl=0         nv up ei ng nz na pe nc

cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010286

0008:00000000 ??              ???Resetting default scope DEFAULT_BUCKET_ID:  CODE_CORRUPTION 

BUGCHECK_STR:  0×8E

PROCESS_NAME:  NotMyfault.exe

Nos dice que la causa del cuelgue se podría dar por haber utilizado la aplicación NotMyFault.exe. Pero nuevamente tampoco nos dice nada del driver. Podemos utilizar el comando que utilizamos en la primera parte !thread, para que nos muestre el subproceso que logró colgar a nuestro sistema. Llamando a este comando conseguimos más información, como por ejemplo las llamadas que realizó la aplicación al sistema, así como también nos muestra la IRP:

THREAD 842f3610  Cid 0118.0328  Teb: 7ffde000 Win32Thread: e1b11968 RUNNING on processor 0IRP List:    841c53b0: (0006,0094) Flags: 00000000  Mdl: 00000000Not impersonatingDeviceMap                 e183ac28Owning Process            842f2608       Image:         NotMyfault.exeWait Start TickCount      12895          Ticks: 0Context Switch Count      557                 LargeStack

UserTime                  00:00:00.0050

KernelTime                00:00:00.0140

Win32 Start Address NotMyfault (0×00401ccb) 

Llamando al comando !irp <IRP>, este nos muestra el driver que nos faltaba por descubrir:

kd> !irp 841c53b0Irp is active with 1 stacks 1 is current (= 0×841c5420) No Mdl: No System Buffer: Thread 842f3610:  Irp stack trace.       cmd  flg cl Device   File     Completion-Context>[  e, 0]   5  0 842f76a8 84153028 00000000-00000000                      *** ERROR: Module load completed but symbols could not be loaded for myfault.sys \Driver\MYFAULT                                   Args: 00000000 00000000 83360010 00000000kd> !irp 841c53b0Irp is active with 1 stacks 1 is current (= 0×841c5420) No Mdl: No System Buffer: Thread 842f3610:  Irp stack trace. 

     cmd  flg cl Device   File     Completion-Context

>[  e, 0]   5  0 842f76a8 84153028 00000000-00000000   

                   \Driver\MYFAULT

                                   Args: 00000000 00000000 83360010 00000000

Nuevamente tenemos a nuestro culpable!!

 Otros comandos que podemos utilizar:

 !cpuinfo.- Muestra información acerca del procesador instalado.

kd> !cpuinfo
CP  F/M/S Manufacturer  MHz PRCB Signature    MSR 8B Signature Features
TargetInfo::ReadMsr is not available in the current debug session
 0 15,2,4 GenuineIntel 1195 0000000d00000000                   80073fff
                      Cached Update Signature 0000002000000000
                     Initial Update Signature 0000000d00000000

!peb.- Válido para comprobar por ejemplo el nombre de equipo, path de instalación, número de procesadores, ruta de instalación, etc…

!token.- Muestra información sobre los objetos de seguridad

.cls.- Igual que la shell de Windows. Limpia la pantalla

 Se puede analizar desde el entorno de comandos (cmd.exe)??

El debuggeador de Windows viene con una herramienta llamada kd.exe, la cual la podemos invocar desde la shell de Windows. Los comandos son prácticamente los mismos, al igual que la información que nos es mostrada por la shell. La forma de invocar un crashdump desde la shell de Windows es la siguiente:

 kd.exe -z “Ruta donde está el volcado de memoria en formato DMP” -y “Ruta donde se encuentran los ficheros de símbolos” -i “Ruta de búsqueda de símbolos”

Tienes las herramientas para poder hacerlo, y ya sabes cómo enfocar un problema de estas características. Lo único que te queda es practicar!

Saludos!!

Cuando Windows encuentra una sentencia que pueda llegar a comprometer el sistema, éste se para. Esta sentencia se llama KeBugCheckEx. Esta llamada al sistema la podríamos llamar fallo de sistema, error de kernel, STOP, etc.. , y toma 5 argumentos:

• Código de STOP

• Cuatro parámetros que indican el código de STOP

Si hemos configurado nuestro sistema para que nos vuelque el contenido de la memoria, éste nos generará un archivo para su posterior análisis. Estos archivos se dividen en:

• Small Memory Dump.- El más pequeño de todos y el más limitado (en cuanto a investigación). Solo ocupa 64 Kb y en este archivo irá incluida la siguiente información:

  •  
    •  El mensaje de detención, parámetros y otros datos

    • El contexto del procesador (PRCB) para el procesador que se colgó.

    • La información de proceso y contexto del kernel (EPROCESS) del proceso que se colgó.

    • La información de proceso y contexto del kernel (ETHREAD) del thread que se colgó.

    • La pila de llamadas del modo kernel para el subproceso que se colgó.  Si éste tiene un tamaño mayor que 16 Kb, sólo los primeros 16 Kb serán almacenados.

    • Una lista de controladores cargados

    • Una lista de módulos cargados y no cargados

    • Bloque de datos de depuración. Contiene información básica de depuración acerca del sistema.

    • Páginas adicionales de memoria. Windows también almacena estos datos para que así podamos obtener una mayor “versión” de lo que cascó. Esto nos ayudará a identificar mucho mejor el error ya que contienen las últimas páginas de datos a las que señalaban los registros cuando el sistema se colgó.

• Kernel Memory Dump.- Escribe el contenido de la memoria excepto los procesos.

• Complete Memory Dump.- Escribe todo el contenido de la memoria.

En muchos casos, la información que viene contenida en un MiniDump, no es suficiente para analizar en profundidad un error. Hace años el espacio en disco podría ser un problema para almacenar este tipo de datos, pero hoy en día esto ya no es un problema. Si queremos analizar mejor el error, configurad vuestro sistema para generar o un volcado de memoria completo (Complete Memory Dump) o un volcado del Kernel (Kernel Memory Dump).

Para configurar el volcado de memoria iremos a Inicio à Ejecutar à sysdm.cpl y pulsaremos Enter.

Una vez dentro nos dirigiremos a la pestaña Configuración, y una vez dentro, en la parte de Inicio y Recuperación pulsaremos Configuración

Como podréis ver en la imagen, hemos configurado nuestro Windows de prueba, para que NO reinicie cuando muestre una pantalla de STOP, así podremos ver la pantalla azul en todo su esplendor, y aparte le decimos que cuando muestre una pantalla de error, nos vuelque el contenido completo de la memoria, para que podamos debugearlo, y así practicar!

Y para poder practicar, qué mejor que una maquina virtual no? Podemos instalar una máquina virtual desde 0, o descargarnos una de las muchas imágenes para Virtual PC que podemos encontrar en Microsoft. En cuestión yo utilizaré esta:

http://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en

En el blog también he puesto algunas imágenes en descarga directa con algunas plataformas servidoras, por si queréis descargarlas también.

http://windowstips.wordpress.com/2007/01/18/practica-practica/

Bien. Ya tenemos nuestra máquina virtual funcionando. Hemos configurado nuestro sistema para que nos haga un volcado de memoria completo. Qué hacemos ahora? Esperar? Instalar drivers y aplicaciones hasta que pete por algún lado? J

Como no queremos esperar a tener un BSOD para practicar, Mr. Mark Russinovich, autor de grandes herramientas, principal fundador de la Web Sysinternals y fichado por Microsoft, se ha codeado una herramienta muy chula para que podamos practicar. La herramienta en cuestión se llama NotMyFault.

Esta herramienta nos ayudará a crear los típicos escenarios que nos podemos encontrar en nuestro trabajo. Esta herramienta carga un driver llamado MyFault.sys, y este es el que va a implementar las diferentes BSOD que nos podemos encontrar.

La herramienta en cuestión la podéis descargar de la siguiente dirección:

http://download.sysinternals.com/Files/Notmyfault.zip

También necesitaremos un debuggeador, para poder analizar los volcados de memoria. Utilizaremos el debugeador de Microsoft WinDbg, el cual lo podemos descargar de:

http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx

José Manuel Tella Llop, MVP de Windows, escribió un artículo en su día sobre cómo debíamos comportarnos ante una pantalla azul. El artículo original lo podéis encontrar aquí y nos servirá de guía en todo momento:

http://multingles.net/docs/jmt/bsod.htm

En el artículo de Tella viene cómo instalar tanto las herramientas de debugeo como los símbolos necesarios para poder analizar un volcado de memoria, así como un casque real, a modo de ejemplo, en el que nos muestra la sencillez con la que se saca un error. A partir de aquí asumiremos que tienes instalado WinDbg y tienes configurado correctamente el path de símbolos.

Manos a la obra! Abrimos nuestra máquina virtual, iniciamos nuestro Windows, ejecutamos NotMyFault.exe y pulsaremos la primera opción que viene en el Interface. High IRQL fault (kernel mode). Acto seguido pulsamos en Do Bug.

Upppssss. Pantallaco azul al canto. Formateamos el equipo? Reiniciamos? Reinstalamos el sistema operativo? Por qué Windows es tan malo con nosotros?? J

Detengámonos un momento a analizar el BSOD.

Primera pista: DRIVER_IRQL_NOT_LESS_OR_EQUAL 

Explicación: Un driver en modo kernel ha intentado acceder a memoria paginable desde un proceso o aplicación

Causa: Un driver que ha intentado acceder a memoria paginable mientras había una interrupción, o incluso intentó acceder a memoria inválida o no presente.

Efecto: Casque real del sistema. Estamos jodidos…

Como podemos ver en el pantallaco azul, éste nos muestra varias cosas que tenemos que tener en cuenta en un primer momento:

• Nos muestra el BugCheck o mensaje de STOP.
• Nos muestra el posible causante del fallo (MyFault.sys)

Pero como no estamos seguros, vamos a analizar el error debugeando un poquito.

Una vez que el volcado de memoria haya finalizado, reiniciaremos la máquina y en nuestro directorio Windows, tendremos un archivo llamado MEMORY.DUMP, el cual contiene toda la memoria, ejecutables, threads, etc..

En WinDbg, pulsaremos en File à Open Crash Dump (Acordaos del path de los símbolos)

Esto es lo que nos sale en primera instancia:

Use !analyze -v to get detailed debugging information.  BugCheck D1, {e1071800, 1c, 0, f7cda403} *** ERROR: Module load completed but symbols could not be loaded for myfault.sys*** WARNING: Unable to verify checksum for NotMyfault.exe*** ERROR: Module load completed but symbols could not be loaded for NotMyfault.exe

Probably caused by : memory_corruption

Followup: memory_corruption

El debugeador nos dice que casi con toda seguridad es una corrupción de memoria. El código del BugCheck es D1 (DRIVER_IRQL_…..)

Microsoft tiene registrado más de 150 posibles códigos de error. Todos ellos podemos encontrarlo en la ayuda de la misma aplicación. Más concretamente en:Debuggin tools for Windows à Debuggin Techniques à Blue Screen à Bug Check Code Reference 

También nos pone que si queremos un análisis más exhaustivo podemos escribir el comando ¡analyze –v. Así que escribimos en kd> el mencionado comando, con lo que obtendremos una respuesta parecida a esta:

Vaya. Nos da el código exacto de la pantalla azul, el bugcheck reference (D1), los 4 argumentos restantes de la pantalla azul y nos dice que el proceso que cascó es el proceso NotMyfault.exe. Ya tenemos a nuestro culpable, pero no nos dice nada del driver (MyFault.sys) que provoca el casque real.

Cuando el debugeador no nos dice realmente quién es el culpable, y queremos averiguar más sobre dicho casque, podemos hacer varias cosas:

Ejecutar el comando ¡Thread

Con el comando ¡Thread conseguimos que nos muestre qué llamadas hizo el subproceso en el sistema.

Llamando al comando ¡Thread, el debugeador nos muestra las siguientes líneas:

kd> !threadTHREAD 842f6600  Cid 049c.04ac  Teb: 7ffdf000 Win32Thread: e1a99168 RUNNING on processor 0IRP List:    8428cc98: (0006,0094) Flags: 00000000  Mdl: 00000000

WARNING: Stack unwind information not available. Following frames may be wrong.f3eb4c58 80579a8a 841d8f18 8428cc98 842b6ad0 myfault+0×403

He señalado en negrita lo más característico de estas líneas.

El proceso NotMyFault.exe hace una serie de llamadas, hasta que una pone en peligro la estabilidad del sistema. En nuestro caso es:

f3eb4c58 80579a8a 841d8f18 8428cc98 842b6ad0 myfault+0×403

Una vez que realiza la llamada, el sistema nos avisa de que la pila posiblemente esté corrompida y que los frames pueden estar corruptos.

WARNING: Stack unwind information not available. Following frames may be wrong.También nos muestra la IRP (The I/O request packet) que solicitó.IRP List:    8428cc98: (0006,0094) Flags: 00000000  Mdl: 00000000 

Con lo que tendríamos que llamar a esa IRP para que nos muestre el contenido de esa IRP.

kd> !irp 8428cc98Irp is active with 1 stacks 1 is current (= 0×8428cd0  No Mdl: No System Buffer: Thread 842f6600:  Irp stack trace.       cmd  flg cl Device   File     Completion-Context>[  e, 0]   5  0 841d8f18 842b6ad0 00000000-00000000                       \Driver\MYFAULT

                                   Args: 00000000 00000000 83360018 00000000

Ya tenemos a nuestro culpable. El driver MYFAULT.SYS.

También podremos ver los procesos que actualmente corrían en esa máquina antes del casque, con el comando ¡process 0 0. La salida es parecida a esta:

kd> !process 0 0**** NT ACTIVE PROCESS DUMP ****PROCESS 843cab98  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000    DirBase: 00039000  ObjectTable: e1000d68  HandleCount: 232.    Image: System 

PROCESS 841d8550  SessionId: none  Cid: 0134    Peb: 7ffdf000  ParentCid: 0004    DirBase: 091af000  ObjectTable: e1007790  HandleCount:  21.    Image: smss.exe

.

.

.

En la segunda parte podremos analizar de igual manera un pantallazo azul que no nos diga a simple vista nada, un cuelgue de Windows en el que el sistema se congela literalmente, etc..

Aquí tenéis un resumen referente a los boletines de seguridad del año 2006 con sus correspondientes updates.

Estas imágenes contienen actualizaciones para los siguientes sistemas operativos:

• Windows Server 2003 (32-bit x86) - 18 idiomas
• Windows Server 2003 x64 Edition - 2 idiomas
• Windows Server 2003 para sistemas basados en Itanium - 4 idiomas
• Windows XP - 24 idiomas
• Windows XP x64 Edition - 2 idiomas
• Windows 2000 - 25 idiomas

Enero 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB908519 Referente a (MS06-002)

KB912919 Referente a (MS06-001)

Imagen para descarga

Imagen Actualizaciones Enero 2006

Febrero 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB901620 Referente a MS06-004

KB911565 Referente a MS06-005

KB911564 Referente a MS06-006

KB913446 Referente a MS06-007

KB911927 Referente a MS06-008

KB901190 Referente a MS06-009

Imagen para descarga

Imagen Actualizaciones Febrero 2006

Marzo 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB914798 referente a MS06-011

Imagen para descarga

Imagen Actualizaciones Marzo 2006

Abril 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB911565 Referente a MS06-005  

KB912812 Referente a MS06-013

KB911562 Referente a MS06-014

KB908531 Referente a MS06-015

KB911567 Referente a MS06-016

KB908981 Referente a MS06-017

Imágenes para descarga

Revisiones KB908531, KB911562, KB911565, KB911567 aplicables a Windows XP
 
Windows-KB913086-200604-1.iso

Revisiones KB908531, KB908981, KB911562, KB911567 aplicables a Windows Server 2003

Windows-KB913086-200604-2.iso

Revisiones KB908531, KB911562, KB911567 aplicables a Windows 2000

Windows-KB913086-200604-3.iso

Revisión KB912812 aplicable a Windows 2000 y Windows Server 2003

Windows-KB913086-200604-4.iso

Revisión KB912812 aplicable a Windows XP

Windows-KB913086-200604-5.iso

Mayo 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB913433 Referente a MS06-020

KB913580 Referente a MS06-018

Imágenes para descarga

Imagen Mayo 2006 Actualizaciones

Junio 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB914798 Referente a (MS06-011)

KB916281 Referente a (MS06-021)

KB918439 Referente a (MS06-022)

KB917344 Referente a (MS06-024)

KB917734 Referente a (MS06-024)

KB911280 Referente a (MS06-25)

KB914389 Referente a (MS06-030)

KB917736 Referente a (MS06-031)

KB917953 Referente a (MS06-032)

KB914784

Imágenes para descarga

Actualizaciones KB911280, KB914389, KB917344, KB917734, KB917736, KB917953 aplicables a Windows 2000

Windows-KB913086-200606-1.iso

Actualizaciones KB911280, KB914389, KB914784, KB917344, KB917734, KB917953, KB918439 aplicables a Windows Server 2003

Windows-KB913086-200606-2.iso

Revisiones KB911280, KB914389, KB914784, KB917344, KB917734, KB917953, KB918439, KB914798 aplicables a  Windows XP

Windows-KB913086-200606-3.iso

Revisiones KB916281 y KB918439 aplicables a Windows 2000 y Windows XP

Windows-KB913086-200606-4.iso

Revisiones KB916281 aplicables a Windows Server 2003

Windows-KB913086-200606-5.iso

Julio 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB911280 Referente a MS06-025

KB917283 Referente a MS06-033

KB917537 Referente a MS06-034

KB917159 Referente a MS06-035

KB914388 Referente a MS06-036

Imágenes para descarga

Windows-KB913086-200607.iso

Agosto 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB921883 Referente a (MS06-040)

KB920683 Referente a (MS06-041)

KB918899 Referente a  (MS06-042)

KB920214 Referente a (MS06-043)

KB917008 Referente a (MS06-044)

KB921398 Referente a (MS06-045)

KB922616 Referente a (MS06-046)

KB920958 Referente a (MS06-049)

KB920670 Referente a (MS06-050)

KB917422 Referente a (MS06-051)

Imagen para descarga

Revisiones KB917422, KB920670, KB920683, KB921398, KB921883, KB922616 aplicables a Windows 2000 y Windows Server 2003; KB917008, KB920958 aplicables a Windows 2000; KB920214 aplicables a Windows Server 2003

Windows-KB913086-200608-1.iso

Revisiones KB917422, KB920214, KB920670, KB920683, KB921398, KB921883, KB922616 aplicables a  Windows XP

Windows-KB913086-200608-2.iso

Revisión KB918899 para Internet Explorer

Windows-KB913086-200608-3.iso

Septiembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB921883 (MS06-040)

KB918899 Referente a (MS06-042)

KB919007 Referente a (MS06-052)

KB920685 Referente a (MS06-053)

Imagen para descarga

Actualización KB918899 para Internet Explorer

Windows-KB913086-200609-1.iso

Actualizaciones KB920685 aplicables a Windows 2000, Windows XP y Windows Server 2003; KB921883 para Windows XP y Windows Server 2003; KB919007 para Windows XP

Windows-KB913086-200609-2.iso

Octubre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB922770

KB923191

KB924191

KB923414

KB922819

KB924496

Imagen para descarga

Imagen Actualizaciones Octubre 2006

Noviembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB923980 Referente a (MS06-066)

KB922760 Referente a (MS06-067)

KB920213 Referente a (MS06-068)

KB923789 Referente a (MS06-069)

KB924270 Referente a  (MS06-070)

KB927977 Referente a (MS06-071)

KB927978 Referente a (MS06-071)

Revisiones KB920213, KB923980, KB924270, KB927977, KB927978 aplicables a Windows 2000 y KB922760 para Internet Explorer para Windows 2000

Windows-KB913086-200611-1.iso

Revisiones KB920213, KB923980, KB927977, KB927978 aplicables a Windows Server 2003 y KB922760 para Internet Explorer para Windows Server 2003

Windows-KB913086-200611-2.iso

Revisiones KB920213, KB923789, KB923980, KB924270, KB927977 y KB927978 aplicables a Windows XP; KB922760 para Internet Explorer para Windows XP, y KB927978 para Windows Vista

Windows-KB913086-200611-3.iso

Diciembre 2006

Expedientes de seguridad y artículos de la Knowledge base KB

KB925454 Referente a (MS06-072)

KB926247 Referente a (MS06-074)

KB926255 Referente a (MS06-075)

KB923694 Referente a  (MS06-076)

KB926121 Referente a (MS06-077)

KB923689 Referente a (MS06-078)

KB925398 Referente a (MS06-078)

Imágenes para descarga

Revisiones KB923689, KB923694, KB925398, KB926121, KB926247 aplicables a Windows 2000; KB925454 para Internet Explorer para Windows 2000

Windows-KB913086-200612-1.iso

Revisiones KB923689, KB923694, KB925398, KB926247, KB926255 aplicables a Windows Server 2003; KB925454 para Internet Explorer para Windows Server 2003

Windows-KB913086-200612-2.iso

Revisiones KB923689, KB923694, KB925398, KB926247, KB926255 aplicables a Windows XP; KB925454 para Internet Explorer para Windows XP

Windows-KB913086-200612-3.iso

Os dejo unas máquinas virtuales en descarga directa por parte de Microsoft para que las descarguéis, montéis, practiquéis y disfrutéis… (Cuantos éis!! :))

Windows server 2003 R2 Enterprise Edition

http://www.microsoft.com/downloads/details.aspx?FamilyID=15609c1e-dc8f-43c0-a7c6-30ca07e38fd3&DisplayLang=en

SQL Server 2005

http://www.microsoft.com/downloads/details.aspx?FamilyID=558f3ece-6509-45e9-8d60-25175848a8b7&DisplayLang=en

Exchange Server 2007

http://www.microsoft.com/downloads/details.aspx?FamilyID=6e6501f6-481a-4117-bc22-c745400bcda0&DisplayLang=en

Isa Server 2006

http://www.microsoft.com/downloads/details.aspx?FamilyID=708e826a-9dd9-4327-bf49-5a8fa5e53ab3&DisplayLang=en

Guía DNS

http://www.microsoft.com/downloads/details.aspx?familyid=15D276A5-4BF6-4ADD-9F67-56B38CCB576B&displaylang=en

Otra guía DNS del gran Sauron

http://dmatey.spaces.live.com/Blog/cns!3B6FB47901ABC772!1687.entry

Con esto tendréis un 2003 Server, un SQL Server, un Exchange Server y un ISA Server como servidor de seguridad, proxy,etc..

 Para instalar las máquinas virtuales os podéis descargar de forma gratuita la Virtual PC de Microsoft

http://www.microsoft.com/downloads/details.aspx?FamilyId=6D58729D-DFA8-40BF-AFAF-20BCB7F01CD1&displaylang=es

Y todo a golpe de ratón….

Últimamente me muevo por pocos sitios, siempre leyendo los mismos blogs y las mismas páginas. Páginas que considero muy interesantes, sea por contenido, o sea por opiniones del público que las lee. Esto último es importantísimo, porque a mi personalmente, me vale más la opinión de alguien de la “calle”, es decir, un currante, que un político por ejemplo..
Me muevo principalmente por estos sitios:

elhacker.net
Kriptópolis
Un informático en el lado del mal
Blog de Alberto Noguera
barrapunto
Y algunas más sobre seguridad informática que no vienen al caso…
El caso es que me he quedado flipado con una noticia en portada de barrapunto con un título bastante sensacionalista que dice así…
¿”sudo” para Windows? ?¿?¿?¿?¿?
En el texto se lee…
«Una de las cosas que se echan de menos en Windows es la posibilidad de que un usuario no administrador ejecute programas que requieren privilegios avanzados, algo así como un setuid o sudo del mundo Linux. En la mayor parte de las veces, esto implica añadir a algunos usuarios al grupo Administradores o al grupo Usuarios Avanzados, con lo que se garantiza la intrusión de malware y la instalación de programas no corporativos.
Comorrrrrr??? Que Barrapunto no sabe que existe el comando runas?