Академический Документы
Профессиональный Документы
Культура Документы
WINDOWS 7 HARDENING
E DEFESA PROATIVA
CONFIGURAES DE SEGURANA
MEDIDAS DE DETECO DE INTRUSO E BLOQUEIO DE INVASO
ANLISE FORENSE CONTRA TROJANS, VRUS, SPYWARES E KEYLOGGERS
ANONIMIDADE CONTRA AS AUTORIDADES E CRACKERS
COMPUTADORES HOME USERS E COORPORATIVOS
SISTEMA OPERACIONAL WINDOWS 7/VISTA E XP
NOOB SAIBOT
HACKER GRAYHAT
SECURITY CRASH EXPERT
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
FORMATAO DO COMPUTADOR
Antes de formatar o PC, sempre limpe o PC antes, e para isso preciso que voc
delete a partio atravs do Linux.
Insira um cd do ubuntu ou backtrack 4, ao iniciar na mquina, use o Gparted e delete a
partio. Depois crie uma partio nova limpa ou parties novas conforme desejar.
Importante fazer este procedimento, pois alguns vrus, mesmo depois da formatao ainda
continuam no antigo arquivo do Windows Windowsold, e o Windows quando formata, por
padro nunca apaga os antigos arquivos, preciso apagar quando finalizar a formao, se no,
o vrus ou trojan ainda poder estar ativo e talvez se programado, poder se instalar no novo
sistema operacional de novo.
Como usar o gparted: http://www.youtube.com/watch?v=cweyDqlRsHk&feature=related
Particione 2 drives
Assim quando precisar formatar o computador de novo, voc ter todos os arquivos disponveis
aps a formatao.
FIM DA FORMATAO
Ao iniciar o sistema pela primeira vez, nunca conecte-se a internet, apenas depois no
momento certo.
Faa as seguintes configuraes de segurana:
COLOCAR SENHA DE ADMINISTRADOR
painel de controle / contas e usurios / coloque uma senha complexa de 10 dgitos pelo
menos no administrador.
Obs: Voc pode fazer isso no incio da instalao do Windows, se no foi feito, faa
agora imediatamente.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Start digite na caixa de busca cmd, e clique com o boto direito em cima de cmd, e clique
para executar como administrador.
Pode usar o comando: net user administrador /active:yes ou net user administrator /active:yes
Senhas complexas = mais de 10 dgitos, tem nmeros, letras maisculas e minsculas e
caracteres especiais.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Auxiliar de netbios
Gerenciador de conexo de acesso remoto
Gerenciador de conexo de acesso remoto automtico
Servio de rea de trabalho remota
Registro remoto
Firewall do Windows
Desative o windows firewall garantidamente em
PAINEL DE CONTROLE / SISTEMA / FIREWALL DO WINDOWS / ALTERAR OU
DESATIVAR O FIREWALL DO WINDOWS
Poder desativar mais servios de acordo com suas necessidades.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Em aplicaes do Windows update e aplicaes do sistema Windows clique com o boto direito
e escolha editar.
V em copiar de / outro aplicativo / e selecione a regra do comodo firewall. A regra do comodo
por padro permite somente conexes de sada, e bloqueia qualquer conexo de entrada.
Devemos fazer isso com todas as aplicaes, pastas e tudo no geral. Exceto com o Kfsensor
que veremos a seguir.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Aplique a regra do comodo firewall aplicado anteriormente para todas as opes da lista.
Agora vamos no explorar e na pasta arquivos e programas vamos procurar a pasta do kfsensor
chamada, KeyFocus/Kfsensor/bin e nesta pasta temos os arquivos do kfsensor:
Kfsensmonitor.exe
Kfsnserv.exe
Vamos aplicar a regra de aplicativo confivel para liberar conexes de entrada e sada para os
dois arquivos. Para isso v em Selecionar, explorar, v na pasta Arquivos e programas e procure
por KeyFocus/Kfsensor/bin e selecione o Kfsensmonitor.exe e aplique a regra. Faa o mesmo
com o outro arquivo chamado Kfsnserv.exe.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Temos agora os arquivos do kfsensor liberados para receber conexes, mas para melhorar a
nossa segurana, vamos configurar o comodo para tambm avisar que estamos sendo
invadidos na honeypot kfsensor, pois a kfsensor pode falhar no aviso, por isso melhor como
contingncia ter o comodo avisando tambm.
Na tela diretiva de segurana, vamos clicar com o boto direito na regra do kfsensor que foi
classificado com confivel e selecionar editar:
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Quando um invasor tentar lhe scannear, o comodo ir avisar que o ip do invador X est
tentando se conectar ao seu computador. Isso j um servio de honey pot do comodo, mas o
comodo no simula servios, por isso importante usar uma honeypot que simula servio, e
usar a configurao do kfsensor ensinada.
Quando o comodo alertar que algum IP est tentando se conectar a honey pot Kfsensor,
permita, pois o invador pensar que a porta e servios simulado pela honey pot est realmente
rodando.
Voc pode bloquear o IP do invaSor e pedir para o comodo lembrar e ficar gravado, assim o
sistema bloquear o ip automaticamente da prxima vez que o mesmo scanear.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
ATUALIZE O ANT-VRUS
ATUALIZE O FIREWALL COMODO
ATUALIZE O INTERNET EXPLORER PARA O 9
ATUALIZE O WINDOWS UPDATE E CONFIGURE PARA ATUALIZAR
AUTOMATICAMENTE NO HORRIO QUE GERALMENTE VOC SE ENCONTRA NO PC
SCANNEAR COMPLETO COM O MICROSOFT BASELINE SECURITY ANALYSER PARA
DETECTAR E CORRIGIR VULNERABILIDADES DE SEGURANA INTERNA E EXTERNA
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
TripWire - http://www.tripwire.com
Para detectar interfaces de redes promscuas (um sinal comum de instalao de farejadores), a
ferramenta cpm, disponvel no site da CERT, muito til. Veja o endereo
http://www.cert.org/ft/tools/cpm/ para maiores informaes.
MSCONFIG
Start / digite na barra msconfig / clique inicializao de programas
Deixe apenas o comodo, Microsoft security essencial e Kfsensor na inicializao.
Monitore isso diariamente pois trojans, backdoors e vrus inicializam geralmente com o sistema,
e com isso podemos detectar uma ferramenta maliciosa que se encontra em nosso computador.
REGEDIT
V em:
SOFTWARE
MICROSOFT
WINDOWS
CURRENT VERSION
RUN Cheque se nesta pasta tem alguma outra chave diferente da que est
programado na inicializao. Esta chave run e a outra Run once registra o que est
sendo iniciado no sistema. Se tiver algo que no est programado para iniciar com o
sistema, simplesmente passe o mouse na chave, veja a pasta, v na pasta, analise o
arquivo e seus derivados, limpe tudo, e delete depois a chave.
RUN ONCE tambm tem a mesma funo praticamente da run, usar o mesmo
procedimento anterior.
SOFTWARE
MICROSOFT
WINDOWS
CURRENT VERSION
RUN Cheque se nesta pasta tem alguma outra chave diferente da que est
programado na inicializao. Esta chave run e a outra Run once registra o que est
sendo iniciado no sistema. Se tiver algo que no est programado para iniciar com o
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
RUN ONCE tambm tem a mesma funo praticamente da run, usar o mesmo
procedimento anterior.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Resumo:
, em Todos os
2.
3.
4.
Verifique se as atualizaes desejadas do Internet Explorer foram selecionadas
e clique em Instalar.
Se voc for solicitado a informar uma senha de administrador
ou sua confirmao, digite a senha ou fornea a confirmao.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Iniciando o process explorer, podemos checar os processos, programas ao lado e o bendito PID.
Ento vamos analizar por exemplo a conexo establish que encontramos pelo comando netstat
ano cujo PID 4888.
No processo explorer o PID 4888 corresponde a vpn.
Se passarmos o mouse em cima do programa aparecer para ns o caminho de onde se
encontra o arquivo.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Clicando com o boto direito em cima do programa que estamos analizando, aparece as
seguintes opes:
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Se clicarmos em kill process, podemos finalizar o processo, mas nem sempre funciona. Como
sabemos que isso a VPN, ento no precisaremos fazer nada.
Mas digamos que encontrssemos um arquivo suspeito, como proceder.
Primeiro, pesquisar online o nome do arquivo e o nome de vrios subprogramas, sub pastas
que se encontram na pasta dele.
V no google e pesquise, por estes nomes quanto a vrus, trojans, programas maliciosos entre
outros.
V no netstat ano e veja o ip da conexo externa, v em http://www.whatismyip.com.br/ ou
http://www.maxmind.com/app/lookup_city e copie o ip de conexo externa do processo que
neste caso 68.68.107.161 nestes sites para saber dados de origem, cidade, entre outros do ip.
Veja que j sabemos o provedor, EGI Hosting AFNCA. Neste caso da VPN, no um vrus.
Faa um pente-fino no visualizador de eventos.
Faa anlise de conexes pelo comodo tambm:
Abra o comodo, Visualizar conexes ativas;
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Se clicarmos com o boto direito em cima do processo, podemos ser mandados para o caminho
do arquivo, dentro da pasta dele ou podemos finalizar o processo.
Em visualizar Eventos do Firewall podemos filtrar tudo o que foi feito com este IP
68.68.107.161.
em
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Caso voc descubra que tem uma ferramenta maliciosa em seu computador, voc poder tentar
apagar a pasta do arquivo, se no funcionar, tente finalizar o processo pelo process xp para
depois apaga-lo. Apaga suas chaves no registro tambm e depois a sua pasta por ltimo.
Caso no consiga pelo process xp, tente pelo comodo: Clique com o boto direito para ver as
opes possveis:
A melhor opo pode ser finalizar e bloquear, para depois apagar no registro, e depois apagar
na pasta o arquivo. Alm disso adicionar o arquivo como arquivos bloqueados para garantir.
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Mas se fosse um IP suspeito, poderamos ataca-lo para saber suas portas de conexes e fazer
um footprint do alvo, assim como atacar com o metasploit e iniciar com o processo de contra
ataque agressivo como por exemplo, iniciar todo o processo de invaso profissional.
Footprinting
Ataque passivo
Ataque ativo
Footprinting de servios
Nmap
Metasploit
Exploitao
Escalao de privilgios
Mantendo o acesso
E destruindo o alvo.
Todos sabem que para fazer este contra ataque importante usar outro computador. Pois
importante deixar o alvo pensar que est no controle e te espionando.
Quando ele menos esperar, contra atacamos e podemos at descobrir sua identidade.
O process explorer tem vrias funes, explore bastante ele.
Programas para anlise forense
Alm do mtodo com o process explorer, podemos utilizar estes programas para anlise
forense.
BinText
Ele pode extrair o texto de qualquer tipo de arquivo e inclui a capacidade de localizar texto
ASCII, Unicode texto (ANSI byte duplo) e cordas de recursos, fornecendo informaes teis
Link para download: http://www.mcafee.com/br/downloads/free-tools/bintext.aspx
Galleta
Analisa os cookies existentes em uma mquina e separa as informaes teis em campos para
que possam ser manipuladas por outros programas.
http://www.mcafee.com/br/downloads/free-tools/galleta.aspx
Pasco
Analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em
um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos
o caractere.
http://www.mcafee.com/br/downloads/free-tools/pasco.aspx
NTLAST
Linha de comando que exibe os eventos relacionados ao login dos usurios sendo que eles
devem estar auditados. o nlast um software de anlise forense utilizado para consultar o
registro do windows de eventos de segurana e desenovolver uma lista de eventos de inicios de
sesses, os fixeiros de log do sistema uma informao importante em uma anlise forense.
http://www.mcafee.com/br/downloads/free-tools/ntlast.aspx
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Vision
Vision mostra todas as portas abertas TCP e UDP em uma mquina, apresenta o servio que
est ativo em cada porta. Vision exibi informaes detalhadas do sistema, os aplicativos em
execuo, bem como processos e portas em uso. No caso, j usamo o process explorer e no
precisamos dele.
http://www.mcafee.com/br/downloads/free-tools/vision.aspx
Rifiuti
Ao contrrio da crena popular, quando um arquivo excludo de um computador, ele no
realmente apagado. Para que o Windows apague um arquivo dessa maneira, certas
informaes devem ser armazenadas em registros, de modo que a informao sobre o arquivo
original possa ser restaurada, como o nome do arquivo. O arquivo com esta informao,
nomeado INFO2 e reside no diretrio Lixeira.
http://www.mcafee.com/br/downloads/free-tools/rifiuti.aspx
Forensics Tool Kit v2.0
Analise acessos no autorizados em parties NTFS. Para Windows NT.
http://www.mcafee.com/br/downloads/free-tools/forensic-toolkit.aspx
Opes complementares:
Parmetro Descrio
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!
Noob Saibot GrayHat Autor do guia Windows 7 Hardening e Defesa Proativa - Divulgue para o mundo!
Noob Saibot
Hacker Profile: GrayHat
Currculo:
Metasploit Expert
Social Engeneering Tool Kit Expert
Fast Track Expert
Exploit Developer
Reverse Engeneering for softwares
JailBreaker Developer
Vrus, Trojan and other hack tools programmer
Forensic Analysis and investigation for cyber crime
GrayHat
Noob Saibot Guia para hackers Divulguem para o mundo inteiro! Faa caridade!