27 enero, 2011

GhostBuster: Analizar y eliminar dispositivos pasados USB

GhostBuster es una herramienta que detecta y elimina dispositivos conectados en un pasado y también los actuales.

Figura 1: Analizando dispositivos USB conectados en un pasado con GostBuster.

Aquellos dispositivos que se conectaron y se autoinstalados en Windows. Ya sean actuales o en un pasado. Esta herramienta resulta útil en análisis forenses y ver la marca, nombre, identificadores, drivers, etc. que han estado conectados en un computador.

Saludos!

20 enero, 2011

Windows 7 booteable desde una unidad flash USB con DISKPART

Aunque existen herramientas como WinToFlash, WinSetupFromUSB y PeToUSB.

Mis preferidas para poder bootear cualquier tipo de OS y tener varios OS de instalación o Live en un dispositivo extraíble USB:  XBOOT y YUMI. Ambas de pendrivelinux.com.

Vamos a ver como hacerlo de forma manual a través de una CLI de Windows.

Necesitaremos:
- Una memoria flash USB de una capacidad de 4 GB. (preferible algo más)
- Un disco Live DVD de o una imágen .ISO montada, del instalador de Windows 7.
- Utilizar Windows 7, para realizar estos pasos. (Que podemos descargar Windows 7 + SP1 al final de este artículo).

Para realizar esta tarea, la haremos con DISKPART, que nos permitirá realizar acciones sobre el administrador de discos de Windows.
 

Si estamos realizamos estos pasos bajo Windows XP no se nos llevará a cabo esta tarea.

[1] - Introducimos o pinchamos nuestro USB en el PC.
[2] - Abrimos una consola CMD de Windows, para ello, vamos a:
Inicio -> escribimos CMD -> y pulsamos 'Enter'. Otra opción sería:
Tecla Win + R -> se nos abrirá la ventana 'Ejecutar' -> escribimos CMD -> y pulsamos 'Enter'.

[3] - Una vez se nos abra la ventana de 'Simbolo de Sistema' CMD de Windows, escribimos lo siguiente: (que resalto en negrita).

DISKPART y pulsamos Enter
LIST DISK y pulsamos Enter
Con el comando LIST DISK, se nos mostrará una lista de de los discos de nuestro PC y los que están conectados a el. Tendremos que localizar el disco en que tenemos conectado nuestro USB. (en mi caso es el Disco 1, en la imagen de abajo se puede apreciar).
[4] - Ahora, que ya estamos dentro de DISKPART, introducimos los siguientes comandos (resaltados en negrita), uno por uno y pulsando 'Enter' después de escribir cada uno.

SELECT DISK 1 (seleccionamos el disco 1, como ya dije en mi caso es el 1, pero cada uno que lo ponga en la asignación que se muestra en la LIST DISK)
CLEAN (borramos los datos o el contenido que tengamos en el USB)
CREATE PARTITION PRIMARY (creamos una partición primaria)
SELECT PARTITION 1 (seleccionamos la primera partición, para que nuestra memoria Flash USB sea booteable)
ACTIVE (la activamos)
FORMAT FS=FAT32 o FORMAT FS=NTFS (formateamos en el gestor de archivos FAT32 en caso de Windows XP, en caso de Vista o 7 reconoce el sistemas archivos NTFS. Para Vista o 7 nos daría igual, aconsejo que bajo sistemas operativos Windows se haga en FAT32 sera válido para cualquier sistema Windows. Este proceso puede tardar unos minutos, esperaremos hasta que se complete al 100%)
ASSIGN (asignamos el punto de montaje y letra de unidad)
EXIT (salimos de DISKPART)

Figura1: Todos los pasos realizados por consola.

[5] - Sin cerrar la consola CMD, introducimos un disco Live DVD del instalador Windows 7, o sino montamos una imagen .ISO del instalador de Windows 7.
Y miramos la letra de unidad que le asigna Windows a nuestro lector de DVD. En mi caso, es la letra F:. (Tengo que decir, que en mi caso utilicé un Live DVD, con la imagen .ISO no probé, pero estoy seguro de que también funciona, en el caso de que no funcione, podemos grabar esa .ISO en un DVD y listo).

[6] - También miramos la letra que le asigna nuestro sistema al dispositivo USB, en mi caso H:. Volvemos a la consola CMD, y escribimos los siguientes comandos: (que resalto en negrita).
Nota: Si con nuestro usuario normal no podrmos completar satisfactoriamente o con éxito (successfully) la operación, tendremos que ejeuctar la consola con privilegios de administrador, para ello nos vamos a:
Inicio -> Accesorios -> Botón derecho "Ejecutar como administrador" en "Símbolo de Sistema". El cual se nos abrirá la prompt como: C:\Windows\system32>

F: (entramos en el disco DVD, en mi caso es la letra F:)
CD BOOT (y pulsamos Enter)
BOOTSECT.EXE /NT60 H: (Donde en mi caso, H: es la letra de unidad del USB, cada uno que mire la letra que le asigna el sistema al USB. Esto subcomando de BOOTSECT.EXE lo que hace es básicamente: Aplicar el código de arranque maestro compatible con BOOTMGR, en este caso a la letra de unidad que le asignemos)

Figura 2: Haciendo el bootstrap con BOOTSECT para Widnows 7.

Con el comando Bootsect.exe (que está dentro de la carpeta \boot del LiveCD de Windows Vista/7, el cual lo ejecutamos desde ahí) lo que hace es actualizar el código de arranque maestro para que las particiones del HDD o dispositivo pendrive, en este caso, y así cambien entre BOOTMGR (Windows Boot Manager) y NTLDR (NT Loader). Dependiendo de cual se especifique el cambio, para BOOTMGR sería: /nt60 (valido para Windows Vista/7) y para NTLDR: /nt52 (valido para Windows XP y anteriores)).  
¿ Por qué el parámetro: /nt60 ? (el nombre del parámetro me imagino que viene de la versión del kernel de Windows Vista (NT versión 6.0) y Windows 7 (NT versión 6.1)) (en el caso de Windows XP en su última versión sería: NT versión 5.2. Por eso el parámetro /nt52), estos modifcadores/parámetros lo que hacen es aplicar el código de arranque maestro compatible con BOOTMGR para Windows Vista o 7 y a continuación especificamos la letra de unidad a realizar esta operación, que en este caso sería la letra de unidad del pendrive: H:

[7]
- Y por último, seleccionamos y compiamos TODOS los archivos y carpetas que contiene el disco Live DVD del instalador de Windows (podemos hacer Ctrl+E y Ctrl+C), y los pegamos (Ctrl+V) en la memoria flash USB o pendrive. Haremos lo mismo en el caso de que tengamos una imagen .ISO montada.
Esta copia, del contenido del DVD al USB, también podremos hacerla mediante la Shell de Windows, con el comando 'XCOPY'. Que a diferencia de 'COPY', que este copia uno a uno los archivos, y XCOPY copia bloques de información completa a memoria, y luego los vuelca en el destino especificado, con lo cual XCOPY es mucho mas rapido y eficiente para grandes copias que su hermano pequeño, COPY.

CD F: (entramos en el disco DVD, en mi caso es la letra F:)
dentro de la unidad F:\ -> escribimos: XCOPY *.* /E /F /H H: (en mi caso sería la letra H: asignada al device USB)

Diferencias entre: COPY y XCOPY?

XCOPY es un comando creado posterior a su hermano pequeño COPY. La principal diferencia entre el comando copy y el comando xcopy radica en que con copy no podremos copiar subdirectorios y el xcopy sí permite realizar copia de archivos y subdirectorios.

Los subcomandos que empleé fueron:
/E -> Copia direcctorios y subdirectorios, incluido los vacios.
/F -> Nos muestra el curso de copiado de archvios y subdirectorios a la hora de realizar la copia.
/H -> Copia archivos ocultos y también archivos del sistema.
Podemos utilizar subcomandos de XCOPY, viendo la ayuda de este: XCOPY /? o help XCOPY.

En este caso, hice una copia normal mediante un explorador de Windows.


Figura 3: Copiamos y pegamos, sin más, en el medio extraíble USB.

Listo, si todo ha salido correctamente podremos arrancar o bootear nuestro Live USB, e instalar Windows 7.

Ahora, comentaré como hacer exactamente lo mismo que con el comando Diskpart, pero de forma gráfica, con la GUI que nos ofrece Microsoft para Windows el "Administrador de discos" (diskmgmt.msc). 


[1] - Abrimos el administrador de discos, nos vamos a: Inicio -> Ejecutar y escribimos: diskmgmt.msc

[2] - Una vez dentro del Administración de equipos, nos vamos a: Alamcenamiento -> Administrador de equipos. Puede que tarde unos segundos en aparecer..., esperamos. 
Veremos dos áreas. La primera área, donde se muestran los discos y/o volúmenes que tienen un formato y por ello son reconocidos en el sistema Windows. En el segunda área, es los tipos de discos y volúmenes que tenemos en el sistema (secciones de discos marcadas como "No asignado", Windows no las reconoce al no tener montado un sistema de ficheros FS y por lo tanto no las muestra en la primera área).

[3] - Lo que deberemos hacer es botón derecho sobre el dispositivo USB y "Eliminar el volumen". Una vez se nos ponga en color negro (de modo que quede como "No Asignado"). 
Ahora le damos botón derecho de nuevo y -> Nuevo volumen simple.

Figura 4: Formateando dispositivoUSB de forma gráfica con diskmgmt.msc.

[4] - Damos formato y asignamos una letra de unidad y un sistema de ficheros de manera habitual. Esto es lo mismo que hacerlo por comandos con diskpart, como ya vimos antes, pero ahora de manera gráfica.

[5] - Una vez tenemos formateado el pendrive, le damos botón derecho y ponemos como ACTIVA la partición. Tendríamos que hacer de la única forma el último paso de la guía, el Paso 6, que sería lo del Bootsect.exe.

[6] - Finalmente copiar y pegar los ficheros del DVDLive al pendrive y listo, ya tendríamos un USB booteable con la instalación de Windows 7.


Saludos!
Entradas Relacionadas