Copiar archivos bloqueados o en uso sin ShadowCopy, salvando obstáculos…

Ya seas perito forense, administrador de sistemas o técnico, seguro que en alguna ocasión os habéis visto en la necesidad de copiar algún archivo que por alguna razón este bloqueado (En otro post ya hablaré de este tema con más detenimiento) y no podemos o debemos crear una instancia de vss, para ello nos encontramos que no podemos copiarlos a otras ubicaciones y nos supone algún que otro dolor de cabeza, en el presente post os mostraré algunas herramientas para tal fin y demostrar que no solo de vss vive el administrador de sistemas y mucho menos el forense cuando queremos hacer la adquisición de determinados archivos (si, ya sé que la casuística es enorme), en cualquier caso, como siempre recomiendo probar las herramientas y opciones antes de determinar cuál se adapta mejor a nuestras necesidades.

Continuar leyendo «Copiar archivos bloqueados o en uso sin ShadowCopy, salvando obstáculos…»

Microsoft Log Parser, la gran desconocida…

Log Parser es una herramienta de microsoft muy versátil, algo antigua, pero todavía da guerra,  con ella podremos trabajar con diferentes INPUTS (tipos de entrada) tales como; eventos, xml, texto, registro de windows, capturas con netmon, objetos de active directory, permitiéndonos realizar consultas tipo sql y varios tipos de salida, si queréis obtener más información sobre sus bondades, solo tenéis que visitar la página en TechNet  donde encontraremos un poco de información sobre ella y como descargarla, además también tenéis los foros oficiales de microsoft .

Continuar leyendo «Microsoft Log Parser, la gran desconocida…»

Auditoria en buzones de O365

Este es el primer post  que escribo y espero que os guste (y que mis compañeros no quieran quemarme en la hoguera por no escribir más).

Con el tiempo he visto que muchas personas tienen dudas sobre el funcionamiento de las auditorias de seguridad en los buzones de correo electrónico de Exchange de modo que me he venido arriba y trataré de explicar un poco algunas cosas que nos vendrán bien en el futuro.  Me centro sobre todo en este caso en Exchange Online, es decir, la solución de Office 365 con lo que en el caso de tener la estructura en local os recomiendo lo mismo pero que calculéis bien el espacio consumido de los logs en los servidores. Realmente creo que  es necesario activar los mismos

Continuar leyendo «Auditoria en buzones de O365»

PowerShell_> Contruyendo nuestro usb Write Blocker

Hola a todos, hoy vamos a realizar un script que nos bloquee la escritura en dispositivos usb. Como algunos ya imagináis, este script tiene multiples usos, incluyendo para análisis forense en la parte de adquisición pruebas, cuando clonamos o queremos crear una imagen de un pendrive o de un hd, debemos asegurarnos de que el dispositivo del que queremos obtener la imagen no sea modificada por nuestro sistema, por ejemplo por el antivirus, etc. ya que provocaría cambios en el dispositivo origen, mac times de archivos, etc, inaceptable.

Continuar leyendo «PowerShell_> Contruyendo nuestro usb Write Blocker»

Shadow copy, pequeña herramienta para la lucha contra el gran mal

Shadow Copy, la ayuda oculta eternamente desconocida

Muy buenas a todos, mil perdones por la tardanza, pero el tema del curro es lo que tiene, que le limita a uno la vida ¡qué le vamos a hacer!

A lo que vamos, es obvio que todos los que me vais a leer sabéis perfectamente lo que ha pasado con “Wannacry” y todo ese rollo mesiánico que parecía que se iba a acabar el mundo y tal y cual. Veo que seguimos por aquí ¿no? A ver, que levante la manita aquel que haya tenido que formatear algún equipito esta semana…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Continuar leyendo «Shadow copy, pequeña herramienta para la lucha contra el gran mal»