m313 Security Blog

Los chicos de la distribución forense DEFT Linux han publicado recientemente la herramienta Deft Extra. Este conjunto de herramientas vienen a rellnenar el hueco dejado por las herramientas de Helix para Windows.

La apariencia de este toolkit es muy buena, tenemos las herramientas clasificadas en pestañas según la funcionalidad:

Las herramientas para adquisición de datos son:

FTK Imager
Winen
MDD
Win32dd

La pestaña de “Forensics Tools” aglomera una gran cantidad de programas:

Al igual que en la Helix se puede navegar el sistema de ficheros y escanear el sistema en busca de imágenes. Por último tenemos una pestaña dedicada a multitud de software diverso que puede resultarnos util en una investigación:

Como conclusión decir que si bien faltan algunas herramientas (yo metería alguna más de Nirsoft) es un toolkit muy completo y rellena el hueco dejado por Helix. Hay que destacar los movimientos que se están realizando en las distribuciones. Este Toolkit se unirá a la próxima release de DEFT Linux. Junto con los avances de CAINE y de BackTrack4 en el ámbito forense nos hacen ver un futuro esperanzador para las distribuciones libres en esta disciplina.

DEFT Extra se puede descargar desde la siguiente dirección.

Compártelo

Una de las ventajas del uso de Linux Live Scripts en la creación de Live CD’S, DVD’s y USB’s es el uso de modulos lzm para personalizar la distribución a nuestro antojo. Por personalizar entendemos añadir nuevo programas, modificar la configuración existente, añadir fondos de escritorio, cambiar el idioma, etc.
Importante es señalar que los modulos extras que vamos a crear se deben colocar en la ruta /bt3/modules

Para crear dichos modulos tenemos tres vias:

1. Añadir programas con dir2lzm

Con este comando añadimos o modificamos ficheros a la distribución existente. Para ello ejecutamos BackTrack3, y creamos un directorio temporal para la ruta de nuestro programa, por ejemplo /tmp/nuestro_modulo. Sobre dicha ruta instalaremos nuestro modulo tal como queremos que aparezca en la distribución final al arrancar, es decir, si queremos instalar el programa A sobre /usr/bin la estructura será la siguiente: /tmp/nuestro_modulo/usr/bin.
Una vez comprobamos que funciona nos colocamos sobre /tmp/nuestro_modulo y ejecutamos el siguiente comando:

#dir2lzm /tmp/nuestro_modulo nuestro_modulo.lzm

De esta manera podemos crear módulos para añadir programas, conjuntos de programas, o modificaciones sobre ficheros ya existentes (configuraciones en /etc por ejemplo)

2. Crear módulos lzm a partir de módulos mo

Otra manera de crear un módulo lzm es convirtiendo un módulo .mo ya existente. Podemos encontrar estos módulos en la pagina oficial de Slax o bien crearlos nosotros mismos a partir de las fuentes de los programas, drivers, etc.
En este caso la conversión es tan sencilla como ejecutar el siguiente comando:

#mo2lzm modulo.mo modulo.lzm

3. Crear un módulo de una sesión entera

La tercera posibilidad consiste en arrancar BackTrack3, alterar las configuraciones y después crear un módulo que incorporará todos esos cambios “on the fly”.
Para ello ejecutamos el siguiente comando:

#dir2lzm /mnt/live/memory/changes nuestro_modulo.lzm

Realizando estas pruebas he creado un módulo que cambia la distribución del teclado al castellano, es un incordio tener que cambiarlo cada vez que arranco mi BackTrack3 desde USB, entre otras cosas porque el español no está entre las distribuciones predeterminadas del teclado (ver imagen):

El módulo se llama spanish_keyboard.lzm, podéis descargarlo desde el siguiente enlace:

240b8784e0c03e2e55d4e5d6bc8d5170 spanish_keyboard.lzm

Una vez descargado copiarlo sobre el directorio /bt3/modules

Compártelo

Por fin sale a la luz la nueva versión de BackTrack
Entre sus novedades hay que destacar las herramientas SAINT y Maltego.
Como nota negativa la no distribución de Nessus debido a las restricciones que Tenable impone (Apoyemos a OpenVas).

Copio el mail original de la release:

BackTrack 3 Final – Release Information
Released yesterday exclusively on pauldotcom.com

Muts, Martin and I have slaved for weeks and months, together with the
help of many remote-exploit’ers to bring you this fine release. As
usual, this version overshadows the previous ones with extra cool
things.

SAINT
SAINT has provided BackTrack users with a functional version of SAINT,
pending a free request for an IP range license through the SAINT
website, valid for 1 year.

Maltego
The guys over at Paterva have created a special version of Maltego
v2.0 with a community license especially for BackTrack users. We would
like to thank Paterva for co-operating with us and allowing us to
feature this amazing tool in BackTrack.

Nessus
Tenable would not allow for redistribution of Nessus on BackTrack 3.

Kernel
2.6.21.5. Yes, yes, stop whining….We had serious deliberations
concerning the BT3 kernel. We decided not to upgrade to a newer kernel
as wireless injection patches were not fully tested and verified. We
did not want to jeopardize the awesome wireless capabilities of BT3
for the sake of sexiness or slightly increased hardware
compatibilities. All relevant security patches have been applied.

Tools
As usual, updated, sharpened, SVN’ed and armed to the teeth. This
release we have some special features such as spoonwep, fastrack and
other cool additions.

Availability
For the first time we distribute three different version of Backtrack 3
– CD version
– USB version
– VMWare version

BackTrack 3 final download page is here:
http://remote-exploit.org/backtrack_download.html

Final Requests
We request the community to not mirror or torrent this release, or
otherwise distribute it online without our knowledge.
We are trying to gather statistics about bt3 downloads. If you would
like to mirror BT3 then please:

1) Think again! Traffic generated by BT3 downloads is CRAZY.
2) Please contact us before doing so.
3) Send us monthly statistics of downloads for the iso.

If you would like to add a link to BackTrack downloads to your
website, please use:

http://www.remote-exploit.org/backtrack_download.html as the download link.

Rants
Problems, fixes, bugs, opinions – should all end up in our Remote
Exploit community forums, and our wiki:

http://forums.remote-exploit.org
http://wiki.remote-exploit.org

Over and out,

Max, Muts, MjM

Compártelo