Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » analisis_forense » cmdimportant
master_cs:analisis_forense:cmdimportant

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:analisis_forense:cmdimportant [2025/02/12 18:09] thejuanvisumaster_cs:analisis_forense:cmdimportant [2025/03/10 16:15] (actual) thejuanvisu
Línea 1: Línea 1:
-====== Comandos Importantes Prácticas ======+====== [AF]Comandos Importantes Prácticas ====== 
 +Se recomienda trabajar con el sistema operativo instalado en hardware real, se deben evitar las máquinas virtuales ya que nos pueden traer problemas. Se recomienda empezar con linux y luego pasar a Windows. 
 ===== Comandos para comprobar automontado ===== ===== Comandos para comprobar automontado =====
 ==== Linux ==== ==== Linux ====
Línea 23: Línea 25:
 </code> </code>
 ==== Windows ==== ==== Windows ====
 +Para bloquear completamente el montaje automático de USBs en windows tenemos que ir a la siguiente sección del registro (OJO: Esto no permite clonar el USB):
 +<code>
 +HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
 +</code>
 +y modificar la REG_DWORD Start, con un valor inicial de 3, al valor 4 como se ve en la siguiente imagen:
 +<WRAP column 100%>
 +{{:master_cs:analisis_forense:pasted:20250309-182254.png}}
 +</WRAP>
  
 +Aparentemente no hay una forma de bloquear el montaje en Windows 10 sin hacer los volúmenes completamente inaccesibles, por lo que lo que se debe hacer es deshabiltiar la escritura de USBs con Ratool.
  
 +
 +Para ver los dispositivos USB conectados a nuestro equipo en windows podemos usar el siguiente comando en powershell:
 +<code>
 +Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match '^USB' }
 +</code>
 +
 +Otro comando que se puede usar para esto mismo sería:
 +<code>
 +pnputil /enum-devices /connected /class USB
 +</code>
 ===== Comandos para obtener información ===== ===== Comandos para obtener información =====
 Muestra información sobre los discos, pero no nos permite saber si están montados o no Muestra información sobre los discos, pero no nos permite saber si están montados o no
Línea 57: Línea 78:
  
 ===== Comandos para recuperar información de un dispositivo ===== ===== Comandos para recuperar información de un dispositivo =====
 +Para bloquear el montaje de un dispositivo hay varios métodos:
 +==== reglas udev ====
 +Se encuentran en /lib/udev/rules.dev y /etc/udev/rules.d, dentro encontraremos documentos con nombres como 90-usb_lock.rules, dentro encontraremos los siguientes campos (Todos en una línea, separados por motivos explicativos):
 +<code C>
 +ACTION=="add|change", #Cada vez que se conecta o cambia algo en el dispositivo, se lanza esta regla
 +SUBSYSTEM=="block", #Indica el tipo, no se debe confundir con SUBSYSTEMS.
 +ENV{UDISKS_AUTO}="0" #Evita el automontaje de la unidad
 +ENV{UDISKS_INFNORE}="1" #Esta sería una alternativa a la línea anterior, no deben estar las dos a la vez, esta regla indica que se ignora el dispositivo
 +</code>
 +En resumidas cuentas, el contenido puede ser si fuera poco restrictivo como:
 +<code>
 +ACTION=="add|change", SUBSYSTEM=="block", ENV{UDISKS_AUTO}="0" 
 +</code>
  
-Bloquear montaje de dispositivo:+Y si fuera muy restrictivo como:
 <code> <code>
 +ACTION=="add|change", SUBSYSTEM=="block", ENV{UDISKS_INFNORE}="1"
 +</code>
  
 +Para aplicar los cambios a las reglas se usa el siguiente comando:
 +<code>
 +sudo udevadm control --reload-rules
 </code> </code>
 +
 +==== UDISKS2 ====
 +Paramos el servicio de udisks2 para prevenir el montaje automático
 +<code>
 +sudo systemctl stop udisks2.service
 +</code>
 +**OJO:** Cada vez que se reinicie el dispositivo este servicio se reiniciará.
 +
 +==== GSettings ====
 +No es recomendable su uso, es muy fácil que falle. Depende del entorno en el que estemos (GNOME, KDE, etc...). Este ejemplo se aplica a GNOME.
 +<code>
 +gsettings get org gnome desktop media-handling automount
 +</code>
 +Si se ejecuta este comando, debería decir TRUE para indicar que esta el montaje automático montado. Para cambiar eso usamos el siguiente comando:
 +<code>
 +gsettings set org gnome desktop media-handling automount false
 +</code>
 +
 +**OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará.
 +
 +===== Como configurar Windows en equipos de investigación =====
 +Primero debemos deshabilitar el AutoRun o el AutoPlay desde ciertas claves de registro. Hacer que los USB sean de solo lectura. Usando la opción diskpart de automount podemos deshabilitar el montaje automático. 
 +
 +OJO: Cada vez que se acutalice una máquina hay que comprobar que no se hayan revertido estos cambios.
 +
master_cs/analisis_forense/cmdimportant.1739383772.txt.gz · Última modificación: 2025/02/12 18:09 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki