25 noviembre, 2013

Descifrando msgstore.db.crypt de Whatsapp

En sus comienzos, Whatsapp guardaba los ficheros de bases de datos donde se almacenaban las conversaciones que tenemos con el resto de nuestros contactos, en formato SQLite sin cifrar. Es decir, que simplemente con cargarlo en SQLite se podría ver las conversaciones, teléfonos y de más, en texto plano. De modo que en caso de perdida o robo del terminal nos podrían ver las conversaciones de forma muy sencilla.

Hace ya casi año y medio que Whatsapp debido a la inseguridad en estos ficheros y por protección de privacidad para los usuarios; Whatsapp lanzó una actualización en la que corrige este "descuido" encriptando dichos ficheros, dificultando así la simple visualización en plaintext de las conversaciones realizadas.

Este cifrado dificulta la visualización a primera vista, pero no la impide. El cifrado (AES-192-ECB) que utiliza aplicación en los ficheros de backup siempre usa la misma key (346a23652a46392b4d73257c67317e352e3372482177652c), y es lo mismo para todos los dispositivos, es decir, que no se crea nada único por cada dispositivo que tenga instalado Whatsapp.

En el caso de los teléfonos IOS este fichero está en la ruta: [ID de App]/Documents/ChatStorage.sqlite.
En el caso de los teléfonos Android en: ../whatsapp/databases/msgstore.db.crypt.

msgstore.db.crypt (conversaciones actuales).
msgstore-YYYY-MM-DD.X.db.crypt (backups de conversaciones por fechas).

Para descifrar el fichero/s en cuestión de las conversaciones que queramos visualizar. Simplemente tendremos que aplicar el siguiente comando con son sus respectivos argumentos.

Para ello descargamos gratuitamente el binario (en mi caso) para Windows de OpenSSL, la cual es una herramienta que permite cifrar y descifrar ficheros mediante lineas de comandos.

Una vez los instalamos se nos instalará (por defecto) en la carpeta la raíz del sistema (C:\).
Copiamos ahora los ficheros de conversaciones que queramos del origen de Whatsapp a una carpeta cercana a la instalación de OpenSSL (da igual donde estén, aconsejo simplemente por comodidad a la hora de mapear el directorio en el comando).

[1] - Abrimos una consola y nos situamos en el directorio donde está el ejecutable OpenSSL.exe (C:\OpenSSL-Win32\bin).
openssl enc -d  -aes-192-ecb -in copias\msgstore-entrada.db.crypt -out copias\msgstore-salida.db.sqlite -K 346a23652a46392b4d73257c67317e352e3372482177652c
Paso a explicar los argumentos, aunque creo que son claros:
-d: [Decrypt] argumento para empezar a desencriptar.
-aes-192-ecb: El tipo de encriptación del fichero.
-in: [Input] Especificar el fichero de entrada a descifrar (en este caso).
-out: [Output] Especificar el fichero de salida ya descifrado (en este caso).
-k: [Key] es la clave necesaria utiliza por la aplicación.

En el caso de ejemplo que se muestra arriba en la linea de comando, tendríamos que referenciar el mapeado de nuestros ficheros tanto de entrada como de salida, en mi caso ambos estaban en una carpeta dentro de la ubicación de OpenSSL llamadas "copias".

[2] - Una vez tenemos descifrado el fichero, podremos abrirlo simplemente un gestor de SQLite, por ejemplo SQLite Administrator.

Figura 1: Fichero de conversaciones de Whatsapp (ya descifrado) cargado en SQLite (tabla messages)

En SQLite, podremos filtrar por los campos de la tabla messages e ir a un número de teléfono o a un contexto de conversación en concreto, eligiendo correctamente los campos de filtro adecuados.

Saludos!

Fuentes
https://www.os3.nl/_media/2011-2012/students/ssn_project_report.pdf
http://www.securitybydefault.com/2012/05/descifrando-el-fichero-msgstoredbcrypt.html
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

25 octubre, 2013

ntfsprogs: Montar particiones NTFS en sistemas Linux

Si tenemos problemas a la hora de montar particiones NTFS en sistemas de distribución Linux podremos solucionarlo con un paquete que contiene un grupo de utilidades para trabajar con particiones NTFS:

Este conjunto de herramientas están incorporadas en: ntfsprogs

ntfsfix – Arregla errores comunes en el sistema de archivos y fuerza a Windows a comprobar NTFS.
mkntfs – formatea una partición con el sistema de archivos NTFS, haciéndola arrancable opcionalmente.
ntfsinfo – muestra cierta información acerca de una partición NTFS, algún archivo o directorio dentro de él.
ntfslabel – muestra, o configura, una partición NTFS sin pérdida de datos.
ntfsresize – Redimensiona una partición NTFS sin pérdida de datos.
ntfsundelete – Recupera archivos borrados de una partición NTFS.
ntfscluster – encuentra el dueño de algún sector dado o grupo de sectores en una partición NTFS.
ntfscat – concatena archivos y los imprime por la salida estándar (sin montar la partición).
ntfsls – lista el contenido de un directorio de un sistema de archivos NTFS (sin montarlo).
ntfscp – sobreescribe archivos en una partición NTFS.
ntfsclone – clona eficientemente un sistema de archivos NTFS o parte de él.
ntfsmount – monta una partición NTFS desde el espacio de usuario usando libntfs y FUSE.
ntfsdecrypt – Descifra archivos NTFS cifrados (NO INCLUIDO).
ntfscmp – Compara dos volúmenes NTFS y dice las diferencias.

Para instalarlo simplemente en una terminal escribimos:
$ sudo aptitude install ntfsprogs
La utilidad para reparar alguna partición es ntfsfix que con tan solo el siguiente comando lo resolveremos todo.
$ sudo ntfsfix /dev/particion
Saludos!

05 octubre, 2013

Como ver, extraer o modificar el contenido de un DVD de instalación de Windows

Para poder visualizar y modificar el contenido de un DVD/CD de instalación de Windows, en cualquiera de sus versiones. Necesitaremos hacer uso de algún compresor/descompresor de archivos, en este caso utilizaré 7-Zip puesto que es gratuito y nos valdrá para realizar esta tarea.

Esto nos puede ser necesario si queremos:
- Modificar algún menú de instalación de Windows.
- Añadirle Updates (para crear nuestro propio Service Pack).
- Añadir contenido o ficheros del propio sistema modificados que nos interese.
- O en el caso de que en nuestro sistema actual se nos dañase un fichero, reemplazarlo por un archivo estable. Entre otras cosas.

[1] - Pues bien, una vez descargado e instalado 7-Zip, lo abrimos con "privilegios de administrador" y nos vamos a la barra de ventana a: Herramientas -> Opciones.
Ahí en la pestaña sistema marcamos todas las casillas de asociación de extensiones de ficheros para 7-Zip. De este modo, podremos visualizar todo el contenido y que nos permita abrir e interactuar desde 7-Zip.

Figura 1: Asociando formatos de ficheros a 7-Zip

[2] - Una vez introduzcamos el DVD de Windows o lo montemos como unidad a través de un montador de imágenes .iso (como puede ser por ejemplo Daemon Tools Lite).
Una vez entramos en el DVD y vemos el mismo contenido que pudiésemos ver en un Explorador de Windows, nos vamos a la carpeta SOURCES.

Figura 2: Contenido raíz del DVD de instalación de Windows.

[3] - Dentro de la carpeta SOURCES podemos ver como ahora si visualizamos muchos más ficheros de lo que veríamos normalmente.
Ahora buscaremos el fichero INSTALL.WIM y lo abriremos con doble clic. Puede tardarnos un poco mientras 7-Zip descomprime este fichero.

Figura 3: Abriendo/descomprimiendo el fichero de instalación [install.wim]

[4] - Una vez se nos visualiza el contenido de este fichero, que puede variar dependiendo que tipo de DVD de instalación tengamos y/o donde lo hubiésemos conseguido.
Abrimos el fichero (en mi caso) [1].xml se nos abrirá por defecto con IE. Una vez abierto veremos que es la estructura de la ventana del menú de instalación de Windows, el cual nos deja seleccionar que tipo de versión instalar.
NOTA: Este fichero se podría extraer y modificar y volver crear una nueva .iso para grabar un nuevo DVD de instalación de Windows, con el menú modificado.

Estos hacen referencia a una etiqueta del tipo <IMAGE INDEX="1"> en el que el número 1 indica la carpeta de las que se puede visualizar. Cada número de carpeta es una versión de Windows (Home Premium, Professional, Enterprise, Ultimate, etc.).
Como ya dije y repito, esto dependerá de cada DVD de instalación que tenga cada uno.
En mi caso, quiero visualizar el contenido de instalación de un Windows Ultimate de x64bits por lo que pertenece a la carpeta 9.

Figura 4: Carpetas del contenido de cada versión de Windows, que contiene el DVD de instalación.

[5] - Ahora y finalmente solo resta entrar al path donde queremos dentro de la versión concreta de instalación de Windows y ver, extraer, modificar o añadir contenido de ficheros.
Si extraemos. modificamos y volvemos añadir o reemplazar tendremos que hacerlo mediante un software de grabación para volver a grabar un nuevo DVD y hacerlo booteable.
Para esto ya había hablado de ello en otros artículos, dejo al final enlaces a estos.

Figura 5: Contenido de una instalación de Windows.

Saludos!

01 octubre, 2013

Tweaking Windows Repair: Repara y restaura configuraciones por defecto de Windows para solucionar problemas

Tweaking Windows Repair, es una herramienta gratuita muy interesante y eficaz que en más de una ocasión me solucionó algunos problemas ocasionales de Windows.
Solución con fallos del registro de Windows, Firewall, IE, Asociación de ficheros, Permisos en sistemas de ficheros, MDAC, fallos de red o conexión, spool de impresión, WMI, Windows en general, etc.

Esta aplicación, cuenta con una interface simple y manejable, en la que podemos marcar lo que queremos que esta realice o no.
Que hace?. Pues básicamente por lo que he podido comprobar, realiza de manera background interacciones con MSC's (Microsoft Console, mmc.exe) y sobre todo con la consola de Windows "Command Prompt, cmd.exe".

En estas hace uso de comandos de Windows y otros externos (como pueden ser algunos de la suite externa: PSTools). Estos reparan, lo que viene siendo, restaurando configuraciones/valores por defecto de Windows, haciendo así una posible solución al problema que tuviésemos en el sistema.

Tweaking Windows Repair

Cuenta con muchas opciones pero de las más interesantes a mi parecer están las de:
- Reset Registry Permissions.
- Register System Files.
- Repair MDAC/MS Jet.
- Repair File Associations.

Al terminar el proceso de reparación de lo que hubiésemos seleccionado. Si contamos con la versión instalable este nos genera unos ficheros logs en los que podemos comprobar que se realizó en cada procedimiento.
Un aspecto interesante en todo esto es que en la versión portable contamos con ficheros con los que podemos solamente coger una de las opciones y realizar un batch si queremos hacer algo rutinario (problema persiste o conocido) y ejecutar solamente eso para no demorar tanto tiempo.

Es compatible con Windows XP, Vista, 7 y 8, a parte de arquitecturas de x86 y x64.
Cuenta con una versión instalable y otra portable.

Descargar Tweaking Windows Repair

26 agosto, 2013

Crear servicios de Windows con SC [Service Controller]

Esta vez comentaré al igual que una de las últimas entradas en las que decía como crear servicios de Windows con Process Hacker, pero esta vez mostraré como hacerlo con una propia herramienta de Windows, la cual es mediante el uso del comando sc.exe (Service Controller) a través de la consola de comandos.

La estructura del comando sería del siguiente modo:
sc create [nombreDeServicio] [binpath=nombreDeRutaDeBinario]
[type={own|share|kernel|filesys|rec|adapt|interact type={own|share}}]
[start={boot|system|auto|demand|disabled}] [displayname=nombreDescriptivo]
Ahora explicaré cada uno de los parámetros utilizados.

nombreServicio: Especificar un nombre al servicio.
binpath=nombreRutaBinario: Especificar una ruta absoluta del fichero binario ejecutable con el que queremos crear el servicio.
type={own|share|kernel|filesys|rec|adapt|interact type={own|share}}: Especificamos el tipo de servicio, los servicios interactivos se tiene ejeuctar con la cuenta LocalSystem. Se utiliza type=interact acompañado de los atributos own o share, dependiendo de si el servicio se ejecuta en su propio proceso y no comparte otros archivos binarios con otros servicios.
start={boot|system|auto|demand|disabled}: Especificamos el tipo de inicio del servicio, lo dejaremos en auto, de modo que se ejecute sin la ayuda de ningún usuario y cada vez que reiniciemos el equipos se auto-ejecutará.
displayname=nombreDescriptivo: Especificar un nombre descriptivo "entendible" al usuario.

Como ejemplo para crear un servicio de Windows, usaré el software de montar imágenes de CD/DVD; "Daemon Tools Lite" y sería del siguiente modo:
sc create DaemonToolsLite binpath=C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe type=interact type=own start=auto displayname="Servicio_DTL"
Decir que los servicios se almacenan en el registro de Windows (regedit), en la siguiente clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Para eliminar un servicio de Windows podremos hacerlo sencillamente con el mismo comando, de forma que quede una eliminación limpia de la siguiente manera:
sc delete nombreServicio
De modo que en el ejemplo anterior sería: sc delete DaemonToolsLite
Y finalmente podremos verificar la clave del registro asociada si se eliminó correctamente (que es lo más probable y lo que debería de suceder), en caso de que no, la eliminaremos manualmente.

Espero que de nuevo esta información os resulte útil alguna vez.
Para más información del comando SC.exe, está disponible en: http://technet.microsoft.com/en-us/library/bb490995.aspx.
Más información también en este artículo oficial de Microsoft: https://support.microsoft.com/es-es/kb/251192

Saludos!

16 agosto, 2013

Crear servicios de Windows con Process Hacker

Probando algunos y nuevos task managers, de nuevo me reencontré con Process Hacker del que ya había hablado, volviendo a investigarlo un poco más a fondo he visto que se pueden crear servicios para Windows de algún proceso o fichero ejecutable (.exe) e incluso añadirle parámetros después path.

[1] - Una vez descargemos e instalamos Process Hacker de forma gratuita. Lo ejecutamos y nos vamos a la opción de la barra de herramientas: Tools > Create service... 

Figura 1: Creando servicio para Windows con Process Hacker

[2] - Se nos abrirá una ventana para poder crear el nombre, descripción, tipo, path, etc... y más datos del servicio a crear.
En este caso y como ejemplo, voy a seleccionar un fichero .exe de la conocida herramienta de montar imágenes .iso y otras: Daemon Tools Lite.

Figura 2: Cubriendo campos para la creación del servicio, en este caso con Daemon Tools Lite

[3] - Vemos como se nos crea el servicio y se nos refleja en el task manager de Windows y también en la consola services.msc.

Figura 3: Servicio de prueba en el que aparece en el administrador de tareas de Windows "DTHelp_prueba".

También, como sería lo normal, dicho servicio sale creado y podemos administrarlo como uno más en la consola de administración de servicios, services.msc

Figura 4: En la consola de administración de servicios (services.msc), figura el servicio en cuestión y podemos ir las propiedades de este.

[4] - En caso de querer borrar o eliminar por completo el servicio, basta con hacerlo a través de nuevo con Process Hacker. Botón derecho sobre el servicio > Delete.

Figura 5: Eliminación a través de Process Hacker del servicio creado como prueba.

Espero que alguno le sea de utilidad esto, que en alguna ocasión puede serlo ya que no hay mucha información al respecto sobre esto.

También puedes consultar: Crear servicios de Windows con SC [Service Controller]

Saludos!

27 julio, 2013

Eliminar drivers de impresoras en Windows: Propiedades de servidor de impresión [printui /s]

Cuando tenemos problemas con los controladores de las impresoras o ya hemos reinstalado en múltiples ocasiones los mismos controladores específicos, genéricos o similares... puede que algunas dll machaquen a otras con una revisión más actual o al contrario. Esto nos impide configurar ciertas características espécificas de configuración, aglunas muy específicas, de impresión de impresoras o simplemente crear conflictos entre los drivers y conseguir que no impriman nada o no correctamente.

Cuando eliminamos una impresora: Panel de control -> Hardware y sonido -> Dispositivos e impresoras -> Botón derecho sobre la impresión a eliminar -> Quitar dispositivo.
Lo que sencillamente estamos haciendo es eso, quitar el dispositivo, pero NO eliminamos del sistema ni los puertos ni los controladores asociados a ese dispositivo.

Para poder eliminar los puertos, una vez eliminemos la impresora accedemos a otras Propiedades de otra u otro dispositivo y en la pestaña puerto eliminamos o quitamos el puerto lógico en cuestión. 

Pero para eliminar los drivers o controladores de impresoras de forma completa en Windows 7 no es igual que en Windows XP.

Para poder acceder a la antigua pantalla de "Propiedades: Servidor de impresión" que disponía Windows XP en las propiedades de una ventana del panel de control en la sección de configuración e instalación de impresoras. (Para Windows 7 SP1 no existe esta opción).

Por lo que tendremos que hacer uso de la interfaz del usuario de la impresora, en la cual la abrimos ejecutando el siguiente comando printui /s (Print User Interface) en una ventana "Ejecutar" o bien en una consola CMD de Windows 7.
La variante del comando /s nos abrirá la ventana de "Propiedas: Servidor de impresión".

Esta acción requiere privilegios administrativos por lo que si somos usuarios rasos y tenemos el UAC activado nos saltará la ventana para la autorización y elevación de privilegios.

Una vez en la ventana, nos vamos a la pestaña Controladores seleccionamos los drivers de la impresora a eliminar y pulsamos el botón Quitar... Se nos abrirá otra ventana en la que seleccionaremos: Quitar el controlador y el paquete de controladores.

Por que los paquetes de controladores también?
Muchos modelos de impresoras en la instalación de su driver no solo traen el suyo si no que incluyen controladores genéricos de otros modelos similares, y el fabricante, si hacemos la instalación por un asistente este nos instala todos estos controladores, que no son más que más librerías dll y otros ficheros. Entonces para eliminar estos drivers de manera completa y limpia aconsejo esta opción.

Decir por último que la carpeta donde están estos controladores tanto en Windows XP, Vista o 7. Es el path: %systemroot%\System32\spool\drivers

Figura 1: Eliminando controladores desde la Propiedades de impresión de Windows 7 con: printui /s

Otra opción igualmente válida sería hacerlo desde una MMC (Microsoft Management Console) desde una ventana "Ejecutar", escribiendo simplemente "mmc". Una vez ahí añadimos un snap-in: Archivo > Agregar o quitar complemento... > Administración de impresión > Agregar el servidor local.

 Este snapin nos llevará al servidor de impresión al que tendremos acceso a los controladores y ahí podemos ver todos e ir desinstalando los que deseemos, esto haría el mismo efecto que lo anterior ya que también quitaría el "paquete de controladores".

Figura 2: Snap-in del Administrador de impresión - Controladores del servidor de impresión desde una MMC

Saludos!

07 julio, 2013

Reconstruir sistemas de ficheros FAT/FAT32/NTFS [Rebuild and recovery filesystem partitions] con: TestDisk

Hace tiempo quería escribir esta entrada con respuesta a muchos comentarios que tuve en este otro artículo: Reparar tarjetas de memoria SD dañadas. Muchos decían que en sus PCs no reconocían las tarjetas de memoria, esto podría ser causa de que al corromperse dichas tarjetas pierden su sistema de ficheros ya sea FAT/FAT32 o NTFS.
Por eso a muchos usuarios cuando conectaban las tarjetas a su equipo Windows decía algo como: "La unidad no tiene formato, ¿desea formatearla ahora?". Esto es lo que debemos de evitar, nunca formateemos algo que queremos recuperar. Ya que lo que estaríamos haciendo serían sobrescribir los datos ya almacenados por espacios lógicos con valor "0" en el espacio de almacenamiento del dispositivo en cuestión, ya sean tarjetas de memoria, pendrives USB, HDDs externos, etc.

Para la recuperación y reconstrucción de un sistema de ficheros en unidades lógicas, como pueden ser particiones u otros podríamos hacer uso de una tool para ello.

TestDisk, es una herramienta gratuita y compatible con entornos Windows, Linux y MacOS. En la que se ejecuta e interactúa a nivel de una command prompt de Windows. Su utilización es sencilla, además en la website oficial podemos encontrar guías perfectamente detalladas y con ejemplos.
Descargar TestDisk

En esta ocasión y como ejemplo, cree un escenario en una VM con Windows 7.

Como vemos cree dos particiones en las que almacené unos ficheros. Una de las particiones de 2,13GB y la otra de 1,41GB.

Figura 1: Particiones 1 E: y 2 F: con información almacena.

Si vemos en el Administrador de discos de Windows (diskmgmt.msc) podemos ver como existen dos particiones primarias creadas en NTFS, las cuales aun NO perdieron su formato de ficheros.

Figura 2: Particiones primarias con formato en el administrador de dispositivos.

Ahora lo que lo que haré será "Eliminar el volumen" de cada una de las particiones. De modo, que se unirán ambas en una mismo valor marcado como "No asignado", el cual significa que no tienen un filesystem con el que poder trabajar y de este modo Windows deje de reconocer las particiones.

Figura 3: Eliminación de volúmenes, quedando sin formato de ficheros como valor "No asignado".

Ya que se eliminaron las particiones anteriores, como vemos Windows ya no las muestra, esto no significa que se borraran del todo ni tampoco la información almacenada que había en ellas. Simplemente, que perdieron el sistema de ficheros NTFS con el que Windows trabaja (NTFS en este caso).

Figura 4: Windows no muestra las particiones, simplemente no las reconoce como tal.

Llegados a este punto, vamos hacer uso de TestDisk para la reconstrucción del filesystem de los volúmenes eliminados.

[1] - Una vez nos descarguemos TestDisk y lo ejecutemos, que en el caso de Windows sería el fichero llamado "testdisk_win.exe".
Se nos abrirá un consola de Windows en la crearemos un nuevo log file para empezar a trabajar con la herramienta.

Figura 5: Creando un fichero de registro.

[2] - Ahora se nos mostrará un menú en el que tendremos que seleccionar en que disco HDD, dispositivo USB u otro, queremos trabajar. En este caso al tratarse de una VM ya me reconoce el único disco que tengo cargado (/dev/sda). Pulsamos entonces en "Proceed".

Como se representan las nomenclaturas de los discos y particiones?

En la forma de representación de los "dispostivos montados" "/dev/sda", significa que el dispostivo (dev=device) de disco duro (sd=para discos SCSI, SATA o dispositivos extraíbles) es el primer disco físico (a).

SDxz, donde "X" (son letras) es el orden del dispositivo y "Z" (son números) el orden del volumen que representa en dispositivo "X". Aclaro que,  los cuatro primeros números están reservados para particiones primarias, de modo que las particiones lógicas se referencian a partir del número 5.
Lo mismo ocurre si vemos representado HDxz, pero con el matiz de que estos se refieren a dispositivos con interfaz IDE, ya sea IDE en discos duros (HDD) o lectores/grabadores CD/DVD ROM.

Por ejemplo, si vemos algo como esto:
/dev/sda1: (sda) la primera partición del primer disco (a).
/dev/sdb3: (sdb5) la primera partición lógica del segundo disco (b)
/dev/hda: (hda) una única partición del primer disco maestro IDE.
Para más información: http://es.wikipedia.org/wiki/Mount

Figura 6: Proceder a trabajar con el disco montado /dev/sda

[3] - En mi caso y seguro que en la mayoría, seleccionamos "Intel" como tipo de arquitectura compatible para la partición.

Figura 7: Seleccionando el tipo de arquitectura para particiones Intel. 

[4] - Ahora marcamos la opción de la lista "Analyse" con la que analizaremos el disco en cuestión. Encontraremos en esta lista más opciones, las cuales se pueden consultar en la website oficial, donde anteriormente dejara un enlace a las guías de la herramienta.

Figura 8: Analizando el disco en cuestión.

[5] - Vemos que reconoce los sectores de inicio a fin y las direcciones CHS (Cylinder Head Sector), esto será necesario como información para la aplicación poder reconstruir la estructura de particiones del disco. CHS el cual es utilizado para particiones menores de 8GB, como es este caso. Para particiones superiores a 8 GB y hasta un límite de 8 ZB, ya se utiliza LBA (Logical Block Addressing).
Con lo que buscamos en este disco y que desglose las particiones de esos valores marcados antes como "No asignados".

Figura 9: Buscando elementos no asignados en el disco, usando direcciones CHS.

[6] - Una vez se nos despliega las particiones encontradas como primarias en este caso (marcadas con la letra "P" a su izquierda), continuamos la operación para realizar la reconstrucción del sistema de ficheros en este caso, NTFS.

Figura 10: Reconstruyendo sistema de ficheros NTFS en las particiones.

[7] - Una vez reconstruidas, pulsamos en "Write" para escribir en el disco el orden de estructura de las particiones y de este modo guardar los cambios.

Figura 11: Escribiendo en el disco para guardar el orden de la estructura de particiones.

[8] - Ahora cerramos la aplicación y REINICIAMOS el equipo para que se apliquen los cambios correctamente. Una vez iniciemos de nuevo sesión en Windows, veremos como al tener de nuevo un sistema de ficheros legible por el sistema operativo estas particiones se nos vuelven a visualizar como pasaba al principio, ver "Figura 1".

Figura 12: Después de reiniciar, Windows ya reconoce las particiones con formato NTFS.

Saludos!

05 julio, 2013

Reparar ficheros dañados en el arranque de Windows XP: system32/config/system

A lo largo de la vida de nuestro EX-Windows XP o en el caso de algunos, Actual-Windows XP. Un buen día al encender e iniciar nuestro equipo y después del POST de arranque nos encontramos con un mensaje que dice algo como:
Falta: Windows\System32\Config\System
Problema: El Windows XP no inicia y aparece el siguiente error:

No se ha iniciado windows porque el siguiente archivo falta o esta dañado: Windows\System32\Config\System
Por que suele llegar a ocurrir esto?
El sistema no suele corromperse por que SI, sin más, siempre existen motivos. Esto puede ocurrir al realizar alguna acción por parte del usuario incorrecta, por la instalación inadecuada de algún driver no compatible o software malintencionado de terceros.
Aunque en la mayoría de los casos suele ser por un apagado inesperado (ya sea por corriente eléctrica de nuestra vivienda o alguna otra acción manual que hiciésemos) dejando al sistema alterado de este modo.

Bien, pues aunque esta solución ya está muy resuelta por miles de enlaces de internet, en lo que te puedes encontrar un gran volumen de respuestas "variopintas", en las que algunas se describen aspectos copiados de otros sitios webs, otro simplemente multitud de pasos para resolver esto, etc.

Resolver esto es algo sencillo, quizás el problema nos surge después, cuando ya estemos con el entorno de Windows iniciado y cargado en nuestra sesión de usuario, -PUEDE- que nos encontremos con "Errores de notificación" de drivers en los que los CLSID (Class ID) se pierden, eliminan, no acaban mapeando correctamente, etc.

Esto pasa porque realmente no solo se corrompió el fichero SYSTEM si no que este fichero tiene dependencias de otros y digamos que al llamar a otros ficheros se produce un fallo en cadena, NO en todos los casos suele ocurrir pero en algunos de los que personalmente me he encontrado sí sucedían este tipo de detalles.

A veces son problemas de software otras de drivers, en cualquiera de los casos la SOLUCIÓN sería desinstalar completamente los productos que nos están dando errores y volver a reinstalarlos de nuevo.

Bueno ahora bien, como solucionamos el problema de ese fichero que falta, ya que puede que sea System, Software u otro fichero que nos pida.
En todo Windows XP existe una carpeta dentro de C:\Windows llamada "REPAIR", la cual contiene ficheros de backup con previsión para este tipo de fallos y los cuales podemos copiando y reemplazando dichos ficheros.

Que necesitamos? 
Simplemente un Live CD/DVD o USB booteable con un sistema operativo Windows instalado ya sea Windows XP, Vista o 7. Nos valdría incluso alguna distribución Linux pero en ese caso dejarlo en los comentarios ya que lo más fácil sería hacer lo que diré ahora pero a modo gráfico y no por comandos.

En el caso de tener un Live CD/DVD/USB con Windows XP o 7.
[1] - Encendemos el equipo y configuramos la BIOS para que haga bootstrapping con los devices USB o lectores CD/DVD.

[2] - Dependiendo si usamos Windows XP o Windows Vista/7, tendremos que acceder a la consola, en el caso de Vista/7 es sencillo y de forma gráfica acceder a ella.
En el caso de XP, una vez cargue toda la configuración del CD para su instalación pulsamos la opción "R" (de Reparar), nos llevará a una ventana a pantalla completa MS-DOS en la que, por defecto y si no tenemos alteraciones en nuestras particiones, introduciremos el número: 1, para acceder a la primera partición que debería de ser C:\Widnows.

[3] - Una vez ahí, podemos hacer lo siguiente:
C:\Windows> cd..
C:\> copy c:\windows\repair\system c:\windows\system32\config\system
[4] - Nos preguntará si deseamos SOBRESCRIBIR el archivo, le decimos que "SI" o "Y".

No es necesario hacer copia de seguridad del fichero original, no la jugamos a solo una linea de comando! (no es necesario ya que estamos copiando en el caso de salir mal siempre podremos volver a copiar de la carpeta 'Repair' el fichero de nuevo).
Espero que estos os aclarase algo y os sirva de ayuda.

Saludos!

15 junio, 2013

Restablecer la contraseña de la BIOS con: CmosPwd

Hay diferentes formas de poder resetear o borrar la password de la BIOS, es decir que para lograr esto tendremos que reiniciar los valores por defecto de la BIOS, como puede ser retirar un pequeño "Jumper" que está situado al lado de la CMOS y que suele ya venir marcada por la placa como algo parecido a lo que se puede ver en la imágen "CMOS PSWD". Y a continuación encender el equipo con este retirado y al entrar en la BIOS no nos pedirá ninguna contraseña.

También está otra posible opción como la de retirar la "Pila" durante un par de minutos aprox. esta conserva la memoria de la CMOS, volvemos a colocar trascurrido dicho tiempo y encendedemos el equipo para poder probar entrar en la BIOS y ver que no nos requiere contraseña de entrada.

Aunque también podemos reiniciar la memoria CMOS en algunos casos o modelos de BIOS compatibles, mediante software, uno de los más conocidos sería:

CmosPwd, es una herramienta gratuíta y usada por linea de comandos con la que podemos resetear la contraseña de la BIOS.
Para que sea posible la funcionalidad de esta en Windows, es necesario instalar un servicio (ioperm), por eso es necesario que lo hagamos por medio de una cuenta local con privilegios de administrativos (desde la propia cuenta "Administrador" o una cuenta que pertenezca al "grupo de administradores").
Este controlador/servicio proporcionará acceso a los puertos de entrada/salida de la memoria CMOS (Complementary metal oxide semiconductor).

Cuando nos descarguemos la aplicación, en el caso de Windows que usemos Windows, entraremos a la carpeta de la tool y después en la carpeta Windows encontraremos los ficheros para ejecutar en linea de comandos.

Primero instalamos el controlador.
ioperm.exe -i
Luego iniciamos el servicio de este.
net start ioperm
Ahora podremos ejecutar la utilidad "cmospwd_win.exe" de modo que hacemos un dump de la memoria CMOS, antes de resetear la password, ya que depende que modelo de BIOS se puede ver en texto plano. En mi caso no es así, debido a que las pruebas las realicé en una laptop de Toshiba.
cmospwd_win -d
Con el parámetro -d hacemos un dumping de la memoria de la CMOS.

Si no conseguimos visualizar la password, entonces reseteamos la contraseña (o mejor dicho, borramos la memoria CMOS).
cmospwd_win -k
De este modo, se nos mostrará tres opciones. En la cual, recomiendo la primera de ellas.
1 - Kill cmos
2 - Kill cmos (try to keep date and time)
0 - Abort
Choice : 1
La primera es directamente que eliminemos la contraseña (es la opción que yo he elegido), la segunda es la misma que la primera pero "intentando conservar la fecha y hora de la BIOS", lo cual esta se puede modificar igualmente, teniendo acceso a ella. Y con la última opción salimos de la utilidad.
Después de Choice, introducimos un valor en este caso: 1 (de la primera opción).

Nos dirá que la CMOS a sido "matada", que en ese caso se refiere a borrada/eliminada su memoria y que cuando reiniciemos para probar el acceso a ella, modifiquemos la fecha y hora actual.
Pues esto es todo, la verdad que bastante simple.

Nota: En la página oficial de CmosPwd veremos la compatibilidad con sistemas operativos y modelos de BIOS. Por lo que pude comprobar no funciona bajo Windows 8.1 y 10 en arquitecturas de 32bits y 64bits.

Descargar CmosPwd

Saludos!

07 junio, 2013

Quitar notificación WGA (Windows Genuine Advantage) de "Windows 7 NO es original" + Diferencias entre licencias KMS y licencias MAK

Mirando por el historial del blog he visto que nunca pusiera nada de esto, lo cual me pareció extraño por que recuerdo que hace ya algún tiempo atrás había mirando este tema, tampoco lo veía digamos "importante..." ya que en Internet sobra este tipo de información.

Pero el otro día por causas ajenas me puse a re-investigar de nuevo sobre el tema.
Y a parte de encontrarme con aun más aplicaciones que 'supuestamente' corrigen o hacen desaparecer esta notificación, realmente con estas no se sabe con certeza lo que hacen. Ya pueden quitarnos la notificación, si. Pero no nos activan o validan Windows 7, o peor aún, también pueden estar cargándonos un troyano o algún tipo de botnet.

La cuestión es que buscando la forma de hacerlo manualmente, encontré artículos de otros blog y forosweb en los que se repetían pero no había ninguno que lo detallara adecuadamente y que lo hiciese de otra forma.

En todos los sitios donde vi estas posibles soluciones, decían cosas como: Renombrar o eliminar los ficheros wgatray.exe y wgalogon.dll. Entre otras cosas...

Decir antes de empezar que existen varias versiones de WGA, por lo que quizás en algunos casos esto no funcione. Lo cual podemos optar por utilizar de forma eficaz "Chew WGA v0.9" (buscar en San Google) esta funciona sin problemas y dependiendo el caso de marca comercial puede que se nos active de nuevo Windows 7 o no.
Ya que, los que me encontré del tipo "RemoveWAT v2.2" en las pruebas realizadas NO me funcionó ninguno.

Después de intentar esto varias veces, llegué a la conclusión, por lo menos en las pruebas realizadas en mi caso, de lo siguiente.

Figura 1: Las alertas pueden aparecer marcadas por códigos de errores hexadecimales como:
0xC004F200 o 0xC004F009


Figura 2: Pasados los días de prueba se visualiza en las propiedades de Mi PC con el mensaje para "Activar hoy"

[1] - Iniciando sesión como Administrador local del equipo.
- Tenemos que tener marcado las "Opciones de carpeta" que se "Muestren ficheros ocultos" y poder ver las "Extensiones de los ficheros"
- Buscamos el siguiente path en una ventana "Ejecutar": %systemroot%\system32

[2] - Aquí encontraremos dos ficheros que hacen la llamada a esta activación: WgaLogon.dll y WgaTray.exe.
En muchos sitios webs que encuentras buscando soluciones para esto comentan, que lo mejor es REnombrarlos o eliminarlos; el problema de esto es que ambas de las dos se equivocan por que existe una actualización que la KB971033, la cual comprueba el tipo de activación de Windows y si se trata de una copia original o no. Mientras esta update siga instalada y enviando peticiones de comprobación en nuestro sistema el mensaje persistirá por que volverá a generar dichos ficheros si estes no concuerdan con la petición que esta KB realiza.

La solución: DESinstalar dicha la actualización (KB971033) y posteriormente OCULTARLA para que cuando busquemos nuevas Windows Updates esta no vuelva a instalarse accidentalmente.

Para desinstalarla, nos vamos a:
Panel de control -> Desinstalar un programa -> y el menú de la izquierda "Ver actualizaciones instaladas". Podemos buscarla manualmente o directamente utilizar el buscador de ventanas, una vez encontrada la desinstalamos. Botón derecho -> "Desinstalar".

Figura 3: Desinstalar actualización instalada KB971033.

Reiniciamos si es necesario.
Y ahora, para ocultarla, nos vamos a:
Las "Windows Update" en el Panel de control, la buscamos en la lista de nuevas actualizaciones tipificada como "Importantes", una vez encontrada -> botón derecho -> "Ocultar actualización". (Esta acción requerirá privilegios).

Figura 4: Ocultar actualización KB971033 de la lista de 'nuevas actualizaciones importantes'.

[3] - Retomando el paso 2 con los ficheros en cuestión, la mejor solución sería quitarle TODOS los permisos a TODOS los usuarios (incluido administradores de equipo).
Aunque entremos estemos en una sesión de administrador local, estos ficheros son protegidos y propietarios del sistema. Por lo que al intentar modificar los permisos NTFS de los ficheros y 'Aceptar' los cambios nos debería mostrar una alerta de que "No tenemos permisos para esa acción".

Por lo que el usuario de la sesión en la que estamos (es decir, un administrador de máquina local), se haga propietario de los ficheros.
Para ello, aconsejo leer esta guía [http://www.zonasystem.com/2011/04/activar-habilitar-o-modificar-permisos.html] en el apartado entero: 3.B. En la que en su día comentaba el tema de los permisos de seguridad NTFS en ficheros.

Ahora sabiendo esto, podemos hacernos propietarios de los ficheros: WgaLogon.dll y WgaTray.exe y quitarle todos los permisos y a todos los usuarios.

[4] - Una vez tenemos los permisos de dichos ficheros modificados. Como no, en Windows siempre hay que echar mano del registro para dejar todo limpio.

Tendremos que quitar registro el LegitCheckControl.dll.
Para eso vamos hacer uso de la herramienta de Microsoft Regsvr32 que se manipula de manera muy sencilla por consola de comandos. Que para los que no lo sepan, es una utilidad que nos permite modificar ficheros de librerías de enlace dinámicas (DLLs) y controles ActiveX. Es decir, que esto crea en el registro de Windows un path para apuntar la ubicación de un fichero y hacer la llamada desde la aplicación que lo utilice.

En una Command Prompt, escribimos:
Regsvr32 %systemroot%\system32\LegitCheckControl.dll /u
El parámetro /u es necesario para poder quitar este módulo DLL del registro. Lo cual haga que ya no apunte a este fichero.
Acto seguido podemos eliminar el fichero, ya en la misma consola de comandos lo podríamos eliminar del siguiente modo:
del %systemroot%\system32\LegitCheckControl.dll
Si NO, nos dejara eliminarlo, es por que puede seguir en uso por el sistema. Tendríamos que reiniciar e intentar solo este último pasa para borrarlo de nuevo.

[5] - Como paso final de esto, haciendo una búsqueda final por el registro me encontré (entre otras, pero estas me parecieron las adecuadas) estás dos claves las cuales las borraremos sin más. Suprimiéndolas con el teclado o botón derecho 'Eliminar'.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\WgaLogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WgaNotify
La primera clave, me imagino que hace referencia a la ventana de notificación de cuando iniciamos sesión en el equipo.
Y la segunda, elimina la notificación WGA de la parte en las que se ubica las desinstalaciones en el registro.

[6] - Ahora podríamos activar Windows 7, con cualquier activador compatible, aconsejo "Activador By DAZ", en mi caso siempre me ha funcionado correctamente en equipos de uso particular o personal.

O si disponemos de un precioso SERIAL, podemos reactivar Windows con la herramienta de Microsoft: "SLMGR (Software Licensing Manager)".

Para esto con la ayuda de otro tutorial que encontré por ahí os la dejo aquí con la explicación resumida y modificada:
Ejecutamos una consola de Windows con privilegios de Administrador:
[1] - slmgr -dlv (Para consultar la información actual de la licencia,.
[2] - slmgr -upk (Desinstala el serial actualmente instalado en el sistema y vuelve al estado de TRIAL).
[3] - slmgr -rearm (Resetea el estado de la licencia y activacion en el sistema).
[4] - Reiniciamos el equipo.
[5] - slmgr -ipk AQUÍ-IRÍA-LA-CLAVE-DEL-PROCUCTO (Mostrará una alerta de que se ha instalado correctamente).
[6] - slmgr -xpr (Muestra la expiración de la licencia actual del sistema o si esta activado permanentemente)
[7] - slmgr -ato (Activa Windows y el serial con los servidores de Microsoft, al menos que esto se utilice en una infraestructura de red de dominio o empresarial en la que se disponga de un servicio de administración de claves como puede ser: KMS (Windows Activation and Key Management Service).

Para más información sobre esta utilidad, aconsejo ss64.com
http://ss64.com/nt/slmgr.html

Buscando info sobre el tema del despliegue centralizado para la activación de Windows en entornos de trabajo. Encontré un artículo 'Xabier Xaus' (escritor de megacrack.es) en el que comento un poco en resumen.

En un entorno corporativo en los que se usen sistemas operativos de Microsoft Windoes Vista/7 y Windows Server 2008 (en cualquiera de sus versiones) y en los que las licencias deberían ser compradas a Microsoft.

Existen principalmente dos formas para realizar activaciones de forma masiva y centralizada para los equipos de una red empresarial, ya sea por medio de:
KMS (Key Management Service) o MAK (Multiple activation Key).

Que diferencias más notables existen entre KMS y MAK?

En las licencias KMS, debes tener instalado un servidor de distribución para licencias KMS que como mínimo conste de 25 equipos Windows Vista/7 y/o 5 equipos Windows Server 2008.
Con las claves KMS el equipo host hace una solicitud a un registro SRV del servidor DNS preguntando cual es su servidor de licencias KMS, en caso que conteste alguno, este será su servidor de licencias KMS.
KMS engloba un conjunto de ediciones de un producto, que puede ser del grupo: VL, A, B o C.

En el caso del método por MAK, sería para una infraestructura empresarial mucho más reducida, ya que en este tendríamos que ir PC a PC para instalar las licencias, a no ser que se usara de forma centralizada por medio de un herramienta de Microsoft como es VAMT (Volume Activation Management Tool).

Adjunto un cuadro donde podremos ver los pilares que engloban los grupos de licencias o claves KMS y MAK.

Figura 5: Los distintos pilares que agrupan claves KMS y MAK

Para más información consultar los artículos de technet.microsoft.com:
http://technet.microsoft.com/en-us/library/ff793414.aspx
http://technet.microsoft.com/es-es/library/cc308698.aspx
http://technet.microsoft.com/en-us/library/ff686876.aspx

Saludos!

06 febrero, 2013

Process Monitor [procmon]: Monitorear a tiempo real todo lo que sucede en Windows, aplicaciones, procesos, hilos de ejecución

Process Monitor, es una herramienta desarrollada por Sysinternals (empresa que comprada por Microsoft) en la que su fundador y autor de esta aplicación es el conocido Mark Russinovich. Con procmon prácticamente podremos monitorear todo tipo de actividad de lo que está sucediendo de manera oculta y/o transparente al usuario en un equipo local con Windows.

Creía que ya hablara de esta herramienta en el blog, pero cuando me puse a buscarla vi que no tenía nada. Por eso que la menciono ahora, personalmente es una herramienta que utilizo muchísimo para entender en muchas ocasiones el funcionamiento de un sistema operativo en entornos Windows.

Podremos monitorear prácticamente todo del sistema: creación de ficheros temporales, operaciones de escritura o lectura en disco, operaciones en el registro de Windows, recepción o transmisión de los protocolos TCP o UDP, creación de hilos (threads), creación de procesos, etc.

Una de las características que más me gusta y que más suelo utilizar es la creación de filtros. Ya que podremos filtrar por una amplia gama de opciones o criterios y así solo mostrar lo que nos interesa ver (podremos definir colores para intentar visualizar de una forma más clara).
Podremos agregar o quitar columnas y de ese modo visualizar más o menos información de cada evento ocurrido, esto ya iría en función a la necesidad del resultado de lo que cada uno quisiera obtener.


Otra característica interesante es que en la visualización del árbol de procesos o threads, Podremos ver los paths donde se alojan y las dependencias (módulos) de librerías dll u otros exe de los que dependerá dicho proceso. También comprobar operaciones a nivel de pila, mostrar los valores de la dirección de memoria donde se están efectuando las acciones, entre otras opciones.


Descargar Process Monitor

Para más información detallada sobre Procmon o Process Monitor:
http://blogs.technet.com/b/appv/archive/2008/01/24/process-monitor-hands-on-labs-and-examples.aspx

05 febrero, 2013

Autologin o autologon en Windows desde regedit

Si en nuestro tenemos creadas varias cuentas de usuario y estas protegidas con contraseñas y simplemente queremos que se inicie automáticamente con uno de esos usuarios en Windows.

Existen varias formas de poder realizar esto, propongo tres posibles soluciones.

> La primera la podremos hacer mediante el registro de Windows.

[1] - Abrimos una ventana "Ejecutar" (Tecla Windows + R) y escribimos: regedit.
[2] - Dentro del registro de Windows, buscamos la ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[3] - En el valor DefaultUserName escribimos el nombre del usuario creado en el equipo en el que queremos iniciar de forma automática.
[4] - En el valor DefaultPassword escribimos la password (si no existe la clave, la creamos como una clave alfanumérica -valor de cadena- (REG_SZ)).
[5] - Cambiamos el valor de AutoAdminLogon a 1.
[6] - Y por último, si se trata de un usuario del dominio o de un usuario local: creamos (un valor alfanumérico -valor de cadena- REG_SZ) o si ya está creado cambiamos el valor DefaultDomainName a "nuestroDominio" o "NombreDeNuestroEquipo".

> La segunda forma de hacerlo es de modo gráfico en Windows.

Abrimos una ventana "Ejecutar" (Tecla Windows + R) y escribimos: "netplwiz" o "control userpasswords2".

Para realizarlo de esta forma, lo comentara en su día en otra entrada de este blog:
http://www.zonasystem.com/2010/09/iniciar-sesion-de-usuario.html

> La tercera forma es hacerlo mediante alguna aplicación externa de Windows.

Para esto usaré una aplicación de sysinternals.com, la cual podemos descargar de aquí:
http://technet.microsoft.com/es-es/sysinternals/bb963905.aspx
Esta simplemente lo hará de modo más fácil al usuario final, pero por detrás simplemente estará modificando las claves del registro de Windows que comento en la primera solución.


Al terminar de introducir los datos en la ventana de la aplicación, pulsamos en Enable, reiniciamos, comprobamos que haga autologin y podremos borrar el "Autologon.exe" de la aplicación.

Si lo queremos más adelante con los mismo datos podremos quitar el Autologon marcando Disable en la aplicación o invirtiendo las claves del registro manualmente que se mencionan en la primera posible solución de este artículo.

21 enero, 2013

Monitorear ficheros o archivos de Windows con: Moo0 FileMonitor

Moo0 FileMonitor, es una aplicación gartuíta para Windows y muy útil que nos permite monitorear todo lo que está pasando con los archivos o ficheros del sistema, archivos en general ya sean ficheros de Windows u otros ficheros digamos que personales como videos, imágenes o carpetas.
Este comprueba si son movidos, copiados, renombrados, borrados, editados, etc.
Todo tipo de acciones es supervisada y capturada por Moo0 FileMonitor.


Se puede ver en la screenshot anterior como se monitorean los cambios realizados en una carpeta "Pruebaaaaaaaa".
También podemos utilizarlo si sospechamos de que podemos estar infectados con algún tipo de malware y así poder estudiar o investigar el funcionamiento de este, en el caso de que tenga la particularidad de duplicarse o haga anomalías extrañas, como modificar ficheros personales.

Está disponible en una versión portable y otra instalable

14 enero, 2013

Reverse ARP [RARP] con: CC Get Mac Address

Siempre le estuve dando vueltas a este tema y nunca encontraba ninguna herramienta fiable y freeware para poder saber la dirección IP sabiendo la dirección MAC de un dispositivo.
Sabemos que aunque NO tengamos la dirección MAC (Media Access Control) de un dispositivo de red si tenemos su dirección IP de la red podemos realizar un ping a esa IP de modo que esto mandará una solicitud en la que le pedirá la dirección MAC de la máquina para poder encaminar la trama a través de la red, al consultar después la tabla ARP podremos ya saber la dirección MAC.

Pero que pasa si NO sabemos la IP pero SI sabemos la dirección MAC?, por ejemplo, en mi caso tengo un dispositivo Print Server en el que no sabía ni la IP ni en el rango de red en la que estaba pero si podía saber la dirección MAC a través de una etiqueta del fabricante.
Para poder ver la IP a través de una dirección MAC, existe un mecanismo que sería lo contrario a lo mencionado anteriormente, como es el RARP (Reverse Address Resolution Protocol).

Por el momento, no conozco ningún comando nativo en Windows para poder resolver esto y buscando en San Google encuentras algunas tools para esto pero muchas no funcionan como dicen y las que pueden realmente funcionar no son gratuítas, por lo que encontré una que NO es freeware, pero que se puede activar mediante un Serial. (Lo cual no es muy común ni adecuado que yo suba a este blog este tipo de apps, pero al tratarse de un Serial y no de un .exe, añadiendo de que es una tool útil que puede ser de utilidad a muchas, pues decidí subirlo).

Se trata de CC Get Mac Address, es una herramienta shareware desarrollada por "Youngzsoft", en la cual de las pruebas que he realizado curiosamente funciona como dice ser, aunque en búsquedas con un rangos distantes entre subredes opera con lentitud, pero fiable.

Hay que tener en cuenta que tenemos que tener habilitado NetBios sobre TCP/IP, para realizar estas operaciones (por defecto para DHCP en Windows lo está).

Figura 1: Buscando una MAC Address dentro en un rango de IPs.

Lo mejor e interesante es que a parte de buscar en una misma subred, se puede deducir la IP buscando rangos de subredes fuera de nuestra propia red local y no es necesario que esté en nuestra tabla de enrutamiento (Route Print), aunque si no funciona de este modo recomiendo añadir el rango de red a la tarjeta ethernet del equipo; con lo que podemos saber una dirección IP fuera de rango, que es la gran utilidad de utilizar esta herramienta como RARP.

Una vez puesto los rangos de IPs que creamos escribimos la dirección MAC, le damos a OK y empezará a buscar, lógicamente dependiendo de la amplitud de nuestro rango de IPs tardará más o menos.

Es muy sencilla de utilizar y está claramente explicada en las FAQs de la website oficial del desarrollador.

Descargar CC Get Mac Address v2.3


Serial - Opción 1: 501269891855280992511
Serial - Opción 2: 401259895297513102993

09 enero, 2013

El fichero Index.dat en IE: almacenamiento de historiales, cookies y caché

Internet Explorer como otras utilidades de Microsoft, genera un archivo llamado "Index.dat" en el que almacena las paginas visitadas por el usuario (%userprofile%), las cookies y la caché de ficheros.

Aunque un usuario borre el historial del navegador IE, la cache y las cookies de este fichero mantiene un registro que no se puede borrar en un modo normal, solo en modo seguro.
Este fichero también guarda un registro de las palabras usadas cuando la opción autocompletar esta activa.

Para leer el registro que que contiene Index.dat existen múltiples herramientas, pero de las que encontré al buscarlas me quedo con estas dos:

Index Dat Spy permite buscar estés archivos, leerlos y eliminarlos.




Index.dat Analyzer permite buscar, leerlos y eliminarlos de forma específica.



Este archivo es usado por malwares para obtener información sobre nuestros hábitos de navegación.

Fuente: http://vtroger.blogspot.com.es

NOTA: Se dijo que en Internet Explorer 7 tenían solucionado dicho problema de seguridad. En las screenshot que dejo arriba se testearon con IE 9 y se siguen mostrando los resultados.

02 enero, 2013

Robots.txt y Nofollow: Evitar ser indexados o cacheados (caché) por los motores de búsqueda

Robots.txt: Es un archivo de texto que se coloca en la carpeta raíz de la página web y con el que podemos filtrar que motores de búsqueda (mediante sus bots) registran nuestro website y poder restringir el acceso a ciertas URL’s que no queremos que sean rastreadas o indexadas en los resultados de búsquedas de "buscadores spiders", como por ejemplo: paginas de login, carpetas con archivos, etc.
Para más información de la edición y manipulación de este fichero: http://www.robotstxt.org

Google (entre otros buscadores) hace una caché de algunas páginas para tener un acceso mas rápido a ellas. Algunos webmasters prefieren no ser "cacheados", para evitar que Google cachee las páginas, simplemente podremos colocar el siguiente META entre las etiquetas HEAD:

META NAME="ROBOTS" CONTENT="NOARCHIVE"
Con esto evitamos que los robots de los buscadores cacheen y archiven nuestras websties.

A mayores, aunque no tiene que ver con el fichero anterior, pero si podemos aplicarlo con la misma finalidad.
Se trata de hacer lo mismo pero para las URLs externas a las que hagamos referencia en una entrada o contenido de nuestro website. Con esto evitaremos que motores de búsqueda indexen estes enlaces externos en sus resultados de búsquedas.

Si queremos que los motores de búsqueda NO indexen las URLs de TODO un contenido web en sus resultados de búsquedas, añadiremos una META entre las etiquetas HEAD:

META NAME="ROBOTS" CONTENT="NOFOLLOW"
Si queremos que SOLAMENTE unas únicas URLs NO se indexen en los resultados de búsquedas, añadiremos dentro del código HTML del enlace al final después del hacer la referencia (a href) el atributo="valor": REL="NOFOLLOW".
Un ejemplo sería:
<a href="http://paginaweb.com/" rel="nofollow">NombrePaginaWeb</a>
Pues con estos dos tips, podremos estar seguros de controlar lo que se filtran por los resultados de los motores de búsquedas...? en principio diría que si y es que realmente funciona, pero de no mostrarse en los resultados, no significa que estos no sea registrados igual de "manera oculta"? por los motores de búsqueda. Y realmente ellos si saben el contenido de la información o lo que queremos "no filtrar" a resultados externos.
 

Saludos
Entradas Relacionadas