Como verificar a assinatura digital de drivers no Windows?

16:03 PCMasterbr , Posted in , , , , 0 Comments

A uns tempos atrás descobri uma ferramenta muito interessante que verifica assinatura de drivers que vem no próprio Windows, para isso é necessário ir em:

 Clique em Iniciar, em Executar, digite sigverif e clique em OK.
Verificar assinatura de driver

Clique em Avançado, apenas para ver o local onde será salvo os logs.

assinatura de drivers

Um resultado final será exibido na sua tela informando os drivers que não possuem assinatura digital.

Resultado verificação de drivers Windows


Após a análise de todos os drivers não assinados, ai você se pergunta o que irei fazer com essa informações, bom, a Microsoft recomenda que todos os drivers do seu PC sejam assinados digitalmente para que mantenha a compatibilidade do sistema, então em muitos casos é necessário remover alguns drivers para que o computador se mantenha estável, já me aconteceu de ter que entrar no modo de segurança para remover um driver não assinado que estava provocando problema de tela azul do Windows.

Recuperar dados perdidos da memória interna do Android

14:19 PCMasterbr , Posted in , , , , , , , 0 Comments


Saudações hoje trago de forma direta e objetiva como recuperar dados apagados do seu Android através desse tutorial passo a passo, sem demora vamos lá:

 Caso tenha alguma dúvida recomendo que assista o vídeo a seguir:


Primeiramente é necessário ir até o site http://www.cygwin.com/ e fazer o download do arquivo:
Download Cygwin


Para Windows x86:

 http://www.cygwin.com/setup-x86.exe

 Windows x64:

 http://www.cygwin.com/setup-x86_64.exe

 Faça o processo de instalação:

 Download Without Install e depois Install from Local Directory parece ser uma opção de instalação mais rápida ai fica ao seu critério.
Instalação CYGWIN


















Escolha o local onde o programa irá fica por padrão  para ficar mais fácil escolhi o caminho
C:\Cygwin como mostra a imagem abaixo:

Instalando Cygwin no C dois pontos













Cliquei em avançar escreva pv onde diz search ou deixe padrão(demora mais):


Instalação PV














Próximo passo:

Processo de instalacao cygwin
















Ele começará o download já advirto que é necessário ter uma conexão boa para fazer o download de todos os pacotes já que se trata de um processo de instalação demorado.


















Tenha paciência tome um cafezinho, assista um DVD e volte depois.
Após fazer o download dos arquivos, ele fará a instalação normalmente sem nenhuma dificuldade.

 O próximo passo é de extrema importância para que o tutorial funcione corretamente, é necessário adicionar no Windows o caminho C:\cygwin\bin\ ao PATH de variáveis do sistema

 Vá em Painel de Controle > Sistema e Segurança>Sistema ou Windows + Pause Break depois em Avançado clique em Variáveis de Ambiente e adicione em Variáveis do sistema em Path clique em Editar... e adicione o caminho C:\cygwin\bin\
 depois do ponto e vírgula conforme a imagem abaixo depois dê ok em tudo para salvar.
CYGWIN adicionando a variáveis do sistema












Download dos arquivos necessários.

 Agora copie os arquivos "nc.exe" e "pv.exe" (NETCAT e Pipe Viewer for para cygwin )e cole dentro da pasta C:\cygwin\bin\ e reinicie o computador para que as alterações no PATH do Windows sejam feitas de forma correta.
NETCAT e Pipe Viewer para cygwin














Após reiniciar o computador você pode verificar através do MS-DOS se esses comandos já se encontram disponíveis para execução no Windows como o exemplo da imagem abaixo:

PIPE VIEWER e NETCAT disponíveis

Agora o próximo procedimento deve ser feito no Android onde será necessário instalar o BusyBox.apk  lembrando que é necessário ser ROOT para ter acesso aos recursos do aplicativo que pode ser encontrado uma versão gratuita na Playstore do Google através do link ou clicando na imagem abaixo:

 https://play.google.com/store/apps/details?id=stericson.busybox&hl=pt_BR


Busybox instalado com acesso ROOT

 Após instalar o Busybox em seu Android vá nas Configurações do Sistema> Opções de Programador e e ative a opção chamada Depuração de USB.
programador android depuracao usb

















Certifique-se que os drivers estão instalados no PC e o driver ADB do seu Android está instalado no PC como mostra a imagem abaixo:
Adb interface Android MTP

















Agora é necessário acessar o terminal do CYGWIN abrindo duas telas do CYGWIN onde na primeira tela deve se digitar os comandos na ordem :

adb devices 

 adb forward tcp:5555 tcp:5555
adb shell
su

 busybox nc -l -p 5555 -e busybox dd if=/dev/block/mmcblk0 bs=512bs=512

Explicação:
O comando adb devices irá listar os dispositivos.
O comando adb forward cria uma conexão entre o dispositivo e o computador.
adb shell abre o console em modo shell enquanto o comando su dá acesso de root ao usuário do shell.
O comando busybox nc... faz com que o busybox tenha acesso a partição principal da memória interna do seu Android.

 Abra outra tela de shell do CYGWIN e digite:

mkdir celular

 ls

 adb forward tcp:5555 tcp:5555

 cd celular
nc 127.0.0.1 5555 | pv -i 0.5 > mmcblk0.img


Explicação:
O comando mkdir irá criar uma nova pasta onde será salvo o backup da imagem.
O comando ls é só para listar para ver se a pasta foi criada.
adb forward criando  uma nova conexão local tcp na porta 5555.
O comando cd celular para entrar dentro da pasta e deixar o backup da imagem mmcblk0.img  dentro do local que criamos.

 Ele começará a gravar toda memória interna dentro de uma imagem ponto img *.*IMG em um celular com uma memória de 2GB ele gerou um arquivo de mais de 3GB com o tempo médio para criar a imagem de 30 minutos enviando dados a 1MB/s.

 Após isso é necessário usar a imagem que criamos para fazer o processo de recuperação de dados.

 Tentei vários softwares mais o R-Studio foi o único que recuperou uma grande quantidade de arquivos deletados entre eles conversas do whatsapp, fotos, vídeos, mantendo a estrutura original das pastas.
Recuperação de dados através da imagem IMG

Após isso fiz o processo de scan da imagem para extrair os dados da partição da imagem *.*IMG com os dados de meus arquivos do Android.

Recuperar arquivos deletados memória Android






É claro que existem muitos softwares de recuperação de dados de partições corrompidas entre outros, recomendo que teste no software de sua preferência e veja qual tem o melhor resultado no processo de recuperação de dados, obrigado aguardo vocês no próximo tutorial.

Como identificar invasores no Windows utilizando o Process Explorer

14:03 PCMasterbr , Posted in , , , , , , 0 Comments

No tutorial de hoje ensinarei a verificar a presença de invasores (hackers) utilizando o famoso programa da Microsoft chamado Processo Explorer, antes de mais nada é necessário fazer o download através do seguinte site:

Process Explorer
Clique na imagem para ser direcionado ao site.

 Após fazer o download e extrair o arquivo execute o Process Explorer.
Existe um processo que está sobrecarregando o sistema no Svchost.exe com o PID 1032 como mostra a imagem abaixo.
No process explorer gastando RAM
Clico com o botão direito do mouse e vou em Properties para verificar as propriedades do executável que está gastando muita memória RAM.

Verificando o processo no Process explorer 
Na aba TCP/IP identifico que o IP 134.170.58.189 (ip da Microsoft) está estabelecendo uma conexão com minha máquina utilizando como base o serviço wuauserv e na porta 49154 está sendo estabelecida uma escuta verificada pelo State LISTENING, pesquisando mais afundo descobri que existe uma falha no serviço do Windows Update no Windows 7 que pode ser corrigida através do KB resetando seus componentes:


Mas em outra hipótese poderia ser um alerta de invasão o consumo excessivo de RAM, mas de qualquer forma isso foi considerado uma falha de segurança grave do sistema, tentei reiniciar o processo através do MS-DOS como administrador:

net stop wuauserv
sc config wuauserv type= own
net start wuauserv

reiniciar serviço wuauserv windows update
Em outros casos é necessário matar o processo através do comando

taskkill /pid "número do pid" /f


Você pode matar o processo também através da opção Kill do próprio Process Explorer


Matar Processo do Windows
















Uma dica importante caso detecte uma invasão no Windows não mate o processo de imediato, tente verificar a fonte de onde vem esse processo e no caso de ser um processo do svchost.exe evite fazer o taskkill /im svchost.exe /f , pois isso pode gerar instabilidade no sistema e até forçar o Windows a reiniciar, mate sempre através do número do PID, tente ver o IP de onde vem essa invasão e bloquei em seu firewall, em última análise pode existir uma backdoor em seu sistema que está permitindo uma invasão.

Varrendo a rede atrás de espiões com Network Miner

17:26 PCMasterbr , Posted in , , , , , , , , 0 Comments

Saudações neste tutorial explicarei como varrer a rede utilizando o programa Network Miner atrás de invasores e de programas que estão utilizando  a rede e enviando informações indevidamente para fora.

 Para baixar o Network Miner é necessário acessar o site:

 Download do Network Miner
Antes de abrir o programa pela primeira vez é necessário ter permissões de Administrador, clicando com o botão direito no programa  e Executar como administrador você encontrará uma tela semelhante a esta:

Network Miner selecionando uma rede

















Clique em Select a network adapter in the list  e depois em Start.
Após isso vá na aba Sessions para começarmos o trabalho de investigação, deve se levar em conta se o seu web browser está aberto ou algum outro programa que você utiliza com maior frequência na internet:
Sessões abertas na rede




















Observe que temos uma lista considerada de IPs e sites:

 
NetRange:       50.16.0.0 - 50.19.255.255

 O primeiro que me chamou a atenção é o da AMAZON que está vinculado ao Facebook, por quê?
O que pensei primeiramente é coleta de dados de usuários para estabelecer perfis de consumidores, imediatamente fui em meu firewall e dei um block nesse RANGE de rede, o problema que veio a seguir é que os ips de faixa a partir do 50 até o 52 estão a maioria vinculada a essa empresa, então seria um trabalho árduo pela frente.

 O próximo foi:

 *.convertro.com

 52.203.145.162 vinculado ao range :  52.192.0.0 - 52.223.255.255

 Novamente pra minha surpresa AMAZON, ao fazer uma pesquisa mais detalhada além do WHOIS o domínio sp1.convertro.com ficou clara a ligação com a AMAZON, a palavra chave que me veio é MARKETING e coleta de dados, novamente me certifiquei que no firewall esse range estava bloqueado.

 Um dos passos mais importantes é saber quais empresas fazem coleta de dados da web para gerar anúncios, como algumas a seguir:

 https://doubleclick.net
https://akamai.net
https://edgesuite.net
https://edgecastcdn.net
akamaitechnologies.com

 E muitas outras que se fosse citar a lista ficaria imensa, apareceu um interessante como o ...

 atdmt.com

 Fazendo uma pesquisa mais apurada ele é um tracking cookie utilizado pela empresa facebook para coletar algumas informações.

 Poderia citar todos os sites porém a lista é gigantesca e levaria muito tempo.

 Outra forma utilizada por coletores de dados é o DNS evite utilizar DNS desconhecidos, o mais recomendável é deixar o padrão mesmo. No próximo tutorial explicarei algumas outras formas de caçar Spywares sejam eles comerciais ou não, aguardo vocês até a próxima.

Como Bloquear Portas de Redes no Windows

18:51 PCMasterbr , Posted in , , , , , , 0 Comments

Neste tutorial ensinarei a bloquear portas de rede através do Firewall nativo do Windows, para isso é necessário compreender para qual finalidade está realizando essa tarefa, seja para impedir acesso remoto em seu computador, impedir que programas não utilizem determinadas funções.

Primeiramente acesse no seu Windows ou faça uma pesquisa por Firewall do Windows com Segurança Avançada, em Regras de Entrada clique com o botão direito do mouse em Nova Regra... >
Que tipo de regra você deseja criar? > marque o botão de rádio Porta conforme a imagem abaixo:

Rede Local bloqueio portas



















Clique em avançar, agora vamos definir quais Portas Locais vamos bloquear,
no meu caso vou bloquear portas do protocolo TCP:

Bloqueio contra invasões



















Agora é necessário definir a ação que no caso é bloquear conexão.


Bloquear Porta de Rede



















Por definição é melhor deixar marcado Domínio, Particular e Público.

Rede bloqueio de portas




Portas bloqueadas descrição
Dê um nome para a porta que deseja bloquear e coloque uma descrição caso deseje.




















Outra forma de fazer isso é indo nas Propriedades de uma regra como por exemplo o bloqueio de um IP Local clicando com o botão direito e depois na aba  Protocolos e Portas,  definindo Portas Locais e Portas Remotas conforme a imagem abaixo:


Porta Local Porta Remota



























Você pode criar uma regra que permita apenas determinadas portas ou que bloqueie essas portas.
Aguardo vocês no próximo tutorial.

Detectando Invasão de Portas Vulneráveis com Angry IP Scanner

14:39 PCMasterbr , Posted in , , , , , , , , , , 0 Comments

Saudações no tutorial de hoje vou explicar como utilizar o Angry IP Scanner para detectar portas abertas em sua rede local, existem várias formas de fazer isso, como usar o NMAP ou outras ferramentas de rede, primeiramente é necessário fazer o download do Angry IP Scanner através do site:

 Para Windows:

 http://angryip.org/download/#windows

 Para Linux:

http://angryip.org/download/#linux

  No tutorial nos focaremos no Windows, após o download, execute a versão portátil ou instale o programa, primeiramente precisaremos saber o nosso IP da rede local, através do comando do MS-DOS ipconfig.
MS DOS










Abra o Angry IP Scanner e coloque os IPs que deseja escanear, no meu caso 192.168.1.31, 
Scan de Portas de rede
 
















Esse é um processo um pouco demorado dependendo da quantidade de portas TCP que deseja escanear ou HOSTs na sua rede que deseja varrer. 
scan de vunerabilidade de portas de rede
















Após a análise conseguimos determinar quais portas estão abertas no meu IP Local que são as seguintes:

 1-134,136-1024,1029,1031-1394,1396-1800,1802-2102,2104,2106,2108-5356,5358-6000

 A primeira questão que entra é eu devo bloquear as portas específicas ou um range específico, bom isso vai depender muito dos programas que você utiliza em seu computador como por exemplo Jogos Online, Ferramentas de Acesso Remoto, Windows Update, Torrent entre outros, por exemplo devo bloquear a porta 134? 

134: INGRES-NET Service:

A porta TCP 134 usa o Transmission Control Protocol. O TCP é um dos principais protocolos de redes TCP / IP. TCP é um protocolo orientado a conexão, ele requer handshaking para configurar comunicações end-to-end. Somente quando uma ligação é estabelecida dados do usuário podem ser enviadas bidirecional através da ligação.


 Neste caso é uma porta TCP seu bloqueio não é recomendável. Você pode testar antes de bloquear ou restringir.

 
As portas que devem ser evitadas bloqueio são as 80, 443, 8080 caso você use FTP a 21, no próximo tutorial explicarei como bloquear e criar regras específicas para bloquear ou restringir o acesso de determinadas portas de rede.

Quarentena de Vírus Sem Usar Programas no Windows

15:18 PCMasterbr , Posted in , , , , , , 0 Comments


Este tutorial tem como objetivo drenar vírus e possíveis ameaças do computador sem que isso prejudique o funcionamento da máquina. Na postagem sobre vírus foi visto como identificar possíveis arquivos suspeitos no computador de maneira simples, agora vamos pegar um candidato a arquivo suspeito e impedir que ele tenha acesso privilegiado ao nosso computador.

do Windows











 





Pode ser que esses arquivos tenham alguma funcionalidade como plugin ou codec de video, porém eu não quero que eles funcionem livremente tendo todo acesso ao meu sistema.

 A maneira mais fácil de impedir que uma ameaça se espalhe é restringindo o acesso dele em seu computador, deixando esse arquivo como somente leitura, se este arquivo estiver em uma pasta com acesso privilegiado como a famosa System32 do Windows é necessário ganhar acesso antes de alterar os atributos do programa através dos seguintes comandos.

 Exemplo o arquivo WERFAULT que envia relatórios de erros para Microsoft




 Passo
 
Permite que um administrador recupere o acesso a um arquivo que foi negado anteriormente, fazendo com que o administrador proprietário do arquivo.

takeown /f C:\Windows\System32\WerFault.exe 

2º Passo

 Exibe ou modifica listas de controle de acesso discricional

Icacls C:\Windows\System32\WerFault.exe /grant UsuarioPC:f /t 
  
3º Passo

Modificando os atributos do arquivo, deixando como somente leitura ou como arquivo morto.
 
attrib C:\Windows\System32\WerFault.exe -r

Não só bloquear o arquivo para que não tenha acesso a internet como também, impedir que ele execute tarefas sem sua permissão, vejo vocês no próximo tutorial até mais.

Assinar: Postagens (Atom)
Related Posts Plugin for WordPress, Blogger...