Herramientas de usuario
master_cs:analisis_forense:cmdimportant
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:analisis_forense:cmdimportant [2025/02/12 18:19] – thejuanvisu | master_cs:analisis_forense:cmdimportant [2025/03/10 16:15] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | ====== Comandos Importantes Prácticas ====== | + | ====== |
| + | Se recomienda trabajar con el sistema operativo instalado en hardware real, se deben evitar las máquinas virtuales ya que nos pueden traer problemas. Se recomienda empezar con linux y luego pasar a Windows. | ||
| ===== Comandos para comprobar automontado ===== | ===== Comandos para comprobar automontado ===== | ||
| ==== Linux ==== | ==== Linux ==== | ||
| Línea 23: | Línea 25: | ||
| </ | </ | ||
| ==== Windows ==== | ==== Windows ==== | ||
| + | Para bloquear completamente el montaje automático de USBs en windows tenemos que ir a la siguiente sección del registro (OJO: Esto no permite clonar el USB): | ||
| + | < | ||
| + | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR | ||
| + | </ | ||
| + | y modificar la REG_DWORD Start, con un valor inicial de 3, al valor 4 como se ve en la siguiente imagen: | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | Aparentemente no hay una forma de bloquear el montaje en Windows 10 sin hacer los volúmenes completamente inaccesibles, | ||
| + | |||
| + | Para ver los dispositivos USB conectados a nuestro equipo en windows podemos usar el siguiente comando en powershell: | ||
| + | < | ||
| + | Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match ' | ||
| + | </ | ||
| + | |||
| + | Otro comando que se puede usar para esto mismo sería: | ||
| + | < | ||
| + | pnputil / | ||
| + | </ | ||
| ===== Comandos para obtener información ===== | ===== Comandos para obtener información ===== | ||
| Muestra información sobre los discos, pero no nos permite saber si están montados o no | Muestra información sobre los discos, pero no nos permite saber si están montados o no | ||
| Línea 71: | Línea 92: | ||
| </ | </ | ||
| - | Y si fuera muy restrictivo como | + | Y si fuera muy restrictivo como: |
| < | < | ||
| ACTION==" | ACTION==" | ||
| Línea 81: | Línea 102: | ||
| </ | </ | ||
| - | ==== UDISK2 | + | ==== UDISKS2 |
| + | Paramos el servicio de udisks2 para prevenir el montaje automático | ||
| + | < | ||
| + | sudo systemctl stop udisks2.service | ||
| + | </ | ||
| + | **OJO:** Cada vez que se reinicie el dispositivo este servicio se reiniciará. | ||
| + | |||
| + | ==== GSettings ==== | ||
| + | No es recomendable su uso, es muy fácil que falle. Depende del entorno en el que estemos (GNOME, KDE, etc...). Este ejemplo se aplica a GNOME. | ||
| + | < | ||
| + | gsettings get org gnome desktop media-handling automount | ||
| + | </ | ||
| + | Si se ejecuta este comando, debería decir TRUE para indicar que esta el montaje automático montado. Para cambiar eso usamos el siguiente comando: | ||
| + | < | ||
| + | gsettings set org gnome desktop media-handling automount false | ||
| + | </ | ||
| + | |||
| + | **OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará. | ||
| + | |||
| + | ===== Como configurar Windows en equipos de investigación ===== | ||
| + | Primero debemos deshabilitar el AutoRun o el AutoPlay desde ciertas claves de registro. Hacer que los USB sean de solo lectura. Usando la opción diskpart de automount podemos deshabilitar el montaje automático. | ||
| + | |||
| + | OJO: Cada vez que se acutalice una máquina hay que comprobar que no se hayan revertido estos cambios. | ||
master_cs/analisis_forense/cmdimportant.1739384383.txt.gz · Última modificación: 2025/02/12 18:19 por thejuanvisu
Herramientas de la página
