Windows Start mit Soluto analysieren und optimieren
Soluto ist ein Windows Programm mit dem man den Windows Boot Vorgang detailliert analysieren kann. Wenn Soluto dauerhaft aktiviert ist, werden die Daten gespeichert und man kann die Optimierungen und Veränderungen am System überachen und über einen längeren Zeitraum auswerten.
Nach der Installation mit anschließendem Neustart, erhält man genaue Informationen über alle Programme die automatisch gestartet werden. Soluto stellt die Informationen grafisch dar und unterscheidet dabei in 3 Kategorien: Required (kann nicht entfernt werden), Potentially removeable (kann auf Grund fehlender Informationen nicht kategorisiert werden und sollte deshalb nur vom Startup entfernt werden, wenn man genau weiß was man macht), No-brainer (diese Programme können ohne Probleme aus dem Autostart entfernt werden).
Ein Klick auf ein Programm, zeigt detaillierte Informationen wie z.B. eine kurze Beschreibung oder Informationen über das was andere Benutzer gemacht haben.
Durch einen Klick auf Advanced bekommt man deutlich mehr Informationen über das entsprechende Programm wie z.B. Versionsnummer, prozentualer Anteil der Soluto-Benutzer die ebenfalls das Programm installiert haben, eine Empfehlung über die weitere Vorgehensweise, genau Zahlen was den Bootvorgang betrifft (Boot Anteil in Prozent, Zeit, Disk) und die zugehörigen Prozesse.
Soluo Webseite: http://www.soluto.com
Nmap 5.0 – Windows Version
Nmap 5.0 für Windows gibt es auf der offiziellen Nmap-Homepage im Dowload Bereich als ausführbare EXE. Mittels des Nmap Windows-Installer kann man direkt alle benötigten und optionalen Komponenten wie z.B.: WinPcap, Registry Veränderungen und Performance Tweaks, Zenmap (grafisches Frontend) installieren.
Nmap unterstützt alle Windows Versionen seit NT, inklusive 2000, XP, Vista, Windows 7 und die Server Varianten 2003 und 2008.
Bis auf den Connect-Scan (-sT) gibt es keine großen Geschwindigkeitsunterschiede zur Unix-Variante. Mit dem Registry-Schlüssel nmap_performance.reg kann die Connect-Scan Geschwindigkeit deutlich verbessert werden. Standardmäßig werden diese Registry Änderungen bereits durch den Installer vorgenommen. Händisch können die Änderungen aus einem Command Prompt mit folgendem Befehl vorgenommen werden: regedit32 nmap_performance.reg Dabei werden folgende DWORD-Werte gesetzt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
- MaxUserPort: 65534
- TCPTimedWaitDelay: 30
- StrictTimeWaitSeqCheck: 1
Der Installer erweitert automatisch die PATH Systemvariable um folgenden Eintrag: C:\Program Files\Nmap.
Dann muss man nicht den vollen Nmap-Pfad angeben, wenn man Nmap aus einem Command Prompt startet.
Folgende Einschränkungen gibt es zur Unix / Linux Variante:
- Man kann nicht einfach die Maschine (localhost, 127.0.0.1) von der Nmap ausgeführt wird scannen. Mann kann allerdings
einen TCP-Connect-Scan ohne Ping (-sT -PN) auf die lokale Maschine machen.
- Es werden nur Netzwerk Interfaces (inkl. 802.11 WLAN Karten und viele VPN Clients) bei Scans mit rohen TCP-Paketen
unterstützt. Einige VPN & RAS-Verbindungen werden nur dann unterstützt, wenn man einen TCP-Connect Scan ohne Ping
macht.
Intense Scan mit Zenmap:
Rechner Details:
Quelle: nmap.org
hostmap – hosts discovery tool
hostmap ist ein Open Source Tool von
Alessandro `jekil` Tanasi das zu einer IP-Adresse alle dazugehörigen Hostnamen und die konfigurierten virtuellen Hosts ausgibt. hostmap ist in Ruby geschrieben und somit plattformunabhängig.
Eine genaue Erklärung der verschiedenen Scan-Techniken und Möglichkeiten findet man in der offiziellen Dokumentation: hier
Einfaches Beispiel, mit dem Parameter -t definiert man das Ziel (target):
hostmap 0.2.1 codename fissatina
Coded by Alessandro `jekil` Tanasi <alessandro@tanasi.it>
[2010-01-04 13:18] Found new hostname scanme.nmap.org
[2010-01-04 13:18] Found new domain nmap.org
[2010-01-04 13:18] Found new hostname scanme.insecure.org
[2010-01-04 13:18] Found new domain insecure.org
[2010-01-04 13:24] Skipping DNS Zone transfer because it is disabled by default, you must enable it from from command line.
[2010-01-04 13:24] Found new nameserver ns1.titan.net
[2010-01-04 13:24] Skipping DNS Zone transfer because it is disabled by default, you must enable it from from command line.
Results for 64.13.134.52
Served by name server (probably)
ns1.titan.net
Served by mail exchange (probably)
No results found.Hostnames:
scanme.insecure.org
scanme.nmap.org
Der Parameter --without-bruteforce beschleunigt den Scan deutlich, die Wahrscheinlichkeit einige Hostsnicht zu erkennen steigt dadurch.
Wer seine Homepage bei einem Webhostinganbieter hostet, kann mit diesem Tool auch überprüfen welche Webseiten bzw. Dienste noch über dessen Server laufen.
Offizielle Homepage: http://hostmap.lonerunners.net
sourceforge: http://sourceforge.net/projects/hostmap/
FirePassword – Firefox Passwörter auslesen
FirePassword ist ein kostenloses Windows Konsolen-Tool das die Benutzernamen und Passwörter aus dem Firefox Passwort-Manager ausliest. Seit der Version 3.5 (released 27.12.09) wird auch Windows 7 unterstützt. Firefox muss dabei nicht wie bei vielen ähnlichen Tools gestartet sein, auch können Benutzernamen und die dazugehörigen Passwörtern aus verschiedenen Profilen von anderen Computern und Betriebssystemen entschlüsselt werden.
Bei den Firefox Versionen 0.x bis 1.x wurden die Passwörter im Profilordner verschlüsselt in der signons.txt im Profilordner gespeichert, ab Version 1.5.x & 2.x in signons2.txt un ab der Version 3.x in der signons3.txt. Seit der Version 3.5.x werden die Benutzer und Zugangsdaten verschlüsselt in der SQLite Datenbank signons.sqlite abgelegt.
FirePassword kann unter Windows ohne weitere Parameter aus einem Command Promt aufgerufen werden:
Tool Homepage: http://securityxploded.com
AFICK (Another File Integrity Checker) – Host IDS
Afick ist ein Open Source Programm, das zur Familie der Host-IDS zu zählen ist, dass Veränderungen und Manipulation in der Filesystem Struktur erkennen kann. Je nach Konfiguration läuft Afick in regelmäßigen Zeitabständen und macht einen Snapshot der definierten Ordner bzw. Dateien, dieser wird dann mit einem vorher erstellten Snapshot verglichen. Bei sensiblen Systemen, macht es Sinn diesen Referenz Snapshot z.B. auf einer extern read-only Flobby Disk zu speichern. Natürlich muss man nach jedem Update, Installation oder Veränderung der Konfiguration einen neuen Referenz Snapshot machen. Je nach Sensibilität und Security Anforderung kann man das Zeitintervall verkürzen. Systeme die mit dem Internet verbunden sind. bzw. sensible Systeme sollten stündlich oder noch öfter überprüft werden. Das in Perl geschriebene AFICK benötigt auch bei größeren File Systemen sehr wenig Ressourcen. Das Entwicklerteam um Eric Gerbier arbeitet an einem Dämon / Service, um die Überprüfung in Echtzeit zu machen.
Afick eignet sich auch hervorragend, wenn man überprüfen will, welche Dateien bestimmte Pakete bei der Installation verändern bzw. erstellen. Dazu macht man einen Snapshot vor der Installation und einen danach, anschließend kann man beide vergleichen und überprüfen.
Afick gibt es für alle gängigen Linux Distributionen und Windows.
Installation unter Debian Lenny
1. Paket downloaden
2. Entpacken
3. Makefile.pl aufrufen und Abhängigkeiten überprüfen
4. Installieren
r-o-f:~# tar xvzf afick-2.14-1.tgz
r-o-f:~# cd ./afick-2.14-1
r-o-f:~/afick-2.14-1# perl Makefile.pl
search required perl modules for afick core (afick.pl) :
OK : found perl module strict
OK : found perl module warnings
OK : found perl module English
OK : found perl module Pod::Usage
OK : found perl module Digest::MD5
OK : found perl module MIME::Base64
OK : found perl module Fcntl
OK : found perl module FileHandle
OK : found perl module Getopt::Long
OK : found perl module Cwd
OK : found perl module File::Glob
OK : found perl module File::Basename
OK : found perl module constant
OK : found perl module vars
OK : you can install afick core
----------------------------------------
search required perl modules for afick gui (afick-tk.pl) :
OK : found perl module Carp
OK : found perl module Tk
OK : found perl module Tk::Balloon
OK : found perl module Tk::Checkbutton
OK : found perl module Tk::Entry
OK : found perl module Tk::HList
OK : found perl module Tk::ItemStyle
OK : found perl module Tk::LabFrame
OK : found perl module Tk::Label
OK : found perl module Tk::ProgressBar
OK : found perl module Tk::ROText
OK : found perl module Tk::Text
OK : found perl module Tk::Tree
OK : found perl module POSIX
OK : you can install afick gui
----------------------------------------
you can run 'make all' to install afick core and gui
r-o-f:~/afick-2.14-1# make all
Beim ersten Start muss man das File System initialisieren und einen Referenz Snapshot erstellen.
Dazu ruft man Afick einfach mit der Option -i auf.
Die Option -C überprüft die Konfigurationsdatei (default: /etc/afick.conf).
# config file /etc/afick.conf ok
r-o-f:~# afick -i
# Afick (2.14-1) init at 2009/12/03 21:43:58 with options (/etc/afick.conf):
# database:=/var/lib/afick/afick
# history:=/var/lib/afick/history
# archive:=/var/lib/afick/archive
# report_url:=stdout
# allow_overload:=1
# running_files:=1
# timing:=1
# exclude_suffix:= log LOG html htm HTM txt TXT xml hlp pod chm tmp old bak fon ttf TTF bmp BMP jpg JPG gif png ico wav WAV mp3 avi
# max_checksum_size:=10000000
# dbm:=GDBM_File
# Dangling file : /usr/lib/python2.4/site-packages/python-support.pth
# Hash database created successfully. 10325 files entered.
# #################################################################
# MD5 hash of /var/lib/afick/afick => WJNGxPrGQ2JyHahsDao2zA
# user time : 1.71; system time : 14.06; real time : 42
Eine händische Überprüfung kann man mit -k machen.
# Afick (2.14-1) compare at 2009/12/03 21:47:03 with options (/etc/afick.conf):
# database:=/var/lib/afick/afick
# history:=/var/lib/afick/history
# archive:=/var/lib/afick/archive
# report_url:=stdout
# allow_overload:=1
# running_files:=1
# timing:=1
# exclude_suffix:= log LOG html htm HTM txt TXT xml hlp pod chm tmp old bak fon ttf TTF bmp BMP jpg JPG gif png ico wav WAV mp3 avi
# max_checksum_size:=10000000
# dbm:=GDBM_File
# last run on 2009/12/03 21:43:58 with afick version 2.14-1
changed file : /etc/nagios/nagios.cfg
changed file : /root/.nano_history
# detailed changes
changed file : /etc/nagios/nagios.cfg
md5 : adeba80a78175f852c2c38e55b51d51f 8bd76d59ffcb364a7515171461deb806
filesize : 1989 1999
changed file : /root/.nano_history
mtime : Thu Dec 3 21:41:47 2009 Thu Dec 3 21:47:01 2009
# Dangling file : /usr/lib/python2.4/site-packages/python-support.pth
# Hash database : 10325 files scanned, 2 changed (new : 0; delete : 0; changed : 2; dangling : 1; exclude_suffix : 217; exclude_prefix : 0; exclude_re : 0; degraded : 1)
# #################################################################
# MD5 hash of /var/lib/afick/afick => WJNGxPrGQ2JyHahsDao2zA
# user time : 2.02; system time : 6.24; real time : 10
Fazit: Afick ist ein ressourcensparendes Tool, dass die Sicherheit eines Systems ohne großen Konfigurationsaufwand deutlich erhöht und hilft, Einbrüche und Manipulationsversuche schnell zu erkennen.
Quelle: http://afick.sourceforge.net/
Blogroll
- /var/bergercity/
- aptgetupdate.de
- Caschys Blog
- Gerds Blog
- infoblog.li
- Linux und Ich
- root1024
- scareware.de
- SECURITY-BLOG.EU
- TIMBOBS BLOG
- Webmaster, Security und Technik
- YAFIB
Sonstiges
Kalender
Random Posts
- Blogparade: Show me your Host!
- INGATE verschenkt 55 VServer
- 1C3 1984 - Hacker in der Tagesschau
- PHProxy - eigenen Web-Proxy betreiben
- Hakin9 Ausgabe 07/2010 erschienen
- Windows Start mit Soluto analysieren und optimieren
- Hakin9 Ausgabe 08/2010 erschienen
- Nmap 5.0 - Howto Teil 7: Nmap Scripting Engine (NSE) - Grundlagen
- Web Proxy: Anonym surfen, Filter umgehen
- VirtualBox - fertige Images / Maschinen herunterladen