| |
|
|
| |
- PC - Primera ayuda tras la interrupción del ordenador -
El Linux-Live-System Trinity Rescue Kit ofrece
herramientas de primeros auxilios. Con estos es posible reparar el ordenador o por lo menos, salvar sus
datos. La distribución, contiene todo lo necesario, inclusive, búsqueda (scanner) de virus,
Servidor Samba, enlaces SSH y ntfs-3g. Con este último puede acceder a particiones NTFS (leer y
escribir). A primera vista, da la impresión de que Trinity Rescue Kit es algo confuso en su
presentación. Puede escoger entre 19 opciones de inicialización (Boot options). En un inicio
debe tomarse la opción estándar, la cual resultará suficiente. Cuenta el ordenador con,
por lo menos, 192 MB RAM, puede optar por la 2da.opción, en la cual se inicializa el sistema operativo
Aspectos fundamentales de la distribución.
Al principio, se verá solo el parpadeo del cursor en la línea de comando y en grades letras, el
nombre del Tool.
La distribución trae un archivo de ayuda. De tener conexión con Internet, puede utilizar el
comando "trkhelp". La ayuda se encuentra también local, la cual puede alcanzarse empleando
el comando "trkhelp -1". De esta manera se abre el Browser en modo grafico, brindándole la
información deseada (o disponible). Para finalizar, deberá utilizarse "q".
El
programador del Tool considera que la documentación está dirigida a usuarios con experiencia en
Troubleshooting. Por lo menos debe saber como instalar Windows.
TRK pone 6 (seis) consolas a su disposición, con lo que pueden iniciarse procesos paralelos. A las
consolas se accede con la combinación de teclas "ALT+<F1>-<F6>".
Herramientas de TRK
Scanner de virus
TRK trae 4 (cuatro) Scanner diferentes, Clamav, F-Prot, Grisoft AVG y BitDefender.
Cada uno de estos tiene sus ventajas. El programador de la distribución favorece Grisoft AVG,
el cual reconoce la mayoría de los códigos maliciosos y es muy rápido. El propio
programador plantea como desventaja, una descarga tediosa y la necesidad de mucha capacidad de memoria. El
ordenador debe disponer por lo menos de 256 MB RAM.
A los Scanner se accede con un único comando y la opción correspondiente:
virusscan –a <clam, avg, fprot, bde> -c –g –n –d <lugar de destino>
Parámetros de los Scanner de virus
| Opción |
Lo que hace |
| -a |
Con esta opción se determina cual Scanner debe inicializarse:
clam – ClamAV.
avg – Grisoft AVG
fprof – F-Prot
bde – BitDefender
Utilice la opción estándar ClamAV. |
| -c |
"Use Common Extensión": escanear solo tipos usuales de archivos.
Esta opción funciona solo con ClamAV y acelera el proceso de escaneo. |
| -g |
"Get Only": Con esta opción descarga solo el ultimo Viren-Patterns.
Con esta opción no se ejecutará un escaneo. |
| -d |
"Destination": Escaneo de una carpeta determinada. Aquí pueden
determinarse las carpetas a escanear. El nombre de las carpetas deben estar separadas por una coma.
No utilice esta opción, deje TRK escanear todo el sistema. |
| -n |
"No Update": Con esta opción, el software no busca nuevas
definiciones de virus. |
| -h |
Lista todos los archivos de ayuda. |
winpass y regedit
Con winpass pueden manipular las contraseñas de
los usuarios existentes en el sistema. Inicia el Tool sin parámetros, utiliza este automáticamente
la cuenta del administrador. En sistemas Windows 2000 y XP Syskey está activado, con lo que las
contraseñas están rigurosamente encriptadas. Syskey puede desactivarse con winpass. Debe renunciarse
a esta posibilidad. Con ella se desactivan todas las contraseñas y en Windows 2000 no es posible reactivar
Syskey. Del mismo modo pudiera ser anulada la activación del producto en sistemas XP. Winpass sugiere no
desactivar Syskey.
Independientemente de esto, winpass es realmente un Tool sencillo. Por ejemplo, con "winpass –u
testuser" winpass cambiaria la contraseña del usuario "testuser". En un inicio, el Tool
ofrece una lista con todas las instalaciones de Windows y el usuario puede escoger una de ellas. A partir de
aquí, puede cambiar las contraseñas. vinpass -1 ofrece una lista de todos los usuarios y
winpass –h una lista de todas las opciones.
regedit se basa en el mismo Script que winpass. Copia
todos los "registry hives" y los abre. A estos pertenecen SAM (Security Account Manager), Security,
System y Software. El Tool no sabe, el registry de cual usuario debe abrir. Si quiere usarlo, más
información encontrará en la documentación.
Clonar particiones NTFS
Esta herramienta puede clonar particiones de un disco duro, de un ordenador, en otro. Condición para
ejecutar esto, es que ambos ordenadores hallan sido inicializados (booting) con TRK. El que recibe debe tener
activado el Daemon SSH, el cual se alcanza con la opción de inicio "8: TRK with a secure shell
Server enabled". Naturalmente, la partición que recibe el Clon (la copia) debe ser por lo menos
tan grande como la que pretende clonar. De no ser así, la herramienta "qtparted" ofrece
ayuda.
cloneXP tiene dos Modi: De iniciarlo sin opciones, el
Tool preguntará los datos correspondientes. Por ejemplo con el comando
clonexp /dev/hda1 192.168.1.100:/dev/sdb1
el Tool clona la primera partición del Disco duro –IDE del ordenador que se pretende clonar, en la
primera partición del segundo disco duro SCSI del ordenador de destino, el cual tiene la
dirección IP 192.168.1.100. La opción " —bkupbr" copia el "boot record" en
un archivo y lo pone en el ordenador de destino.
mountallfs: ata (monta) todas los discos que encuentre.
mountallfs resulta interesante cuando el usuario no quiere atar manualmente todos medios. El Tool busca los
discos locales, USB-Sticks, etc. y los ata (monta) con la misma definición. Por ejemplo: encuentra un
disco duro "/dev/hda1" en el ordenador y lo verá como /hda1 o encuentra un disco duro SCSI
"/dev/sdb2" y lo encontrará como /sdb2. De no estar seguro, de que uno u otro medio
esté atado (montado), puede usar el comando "mount", este lista los medios atados. Esta
herramienta tiene varias opciones. Se inicia sin parámetros, utiliza el núcleo del controlador
integrado para sistemas NTFS. Este le proporciona la posibilidad de leer el medio, mas tendrá
limitaciones para escribir. El parámetro "-g", resulta ventajoso. Con esta opción,
montallfs monta las particiones con el controlador ntfs-3g, con lo que el usuario posee acceso total (leer y
escribir) sobre particiones Windows.
La opción "-e" utiliza un captive-driver y con este el controlador original de Windows
ntfs.sys y ntoskrnl.exe. Estos controladores no forman parte del Tool (por cuestiones de licencia). De querer
usar dicha opción deberá ejecutarse "updatetrk" en un ordenador, donde este instalado
el SP2 de Windows XP o acceso a Internet. Frecuentemente Captive-NTFS provoca la caída
(interrupción) del sistema. Es por esto que se recomienda la utilización de ntfs-3g.
"mountallfs -1" activa el modulo "Logical Volume Management", el cual es útil para
atar (montar) particiones Linux. El comando "umountallfs" desmonta todos los medios atados, el cual
es necesario, posiblemente, al utilizar "updatetrk".
Crear una versión de TRK con updatetrk, trk2usb y trkiso
Se puede crear una versión más o menos propia de TRK. Si se inicia TRK en un sistema donde corre
Windows XP, 2000 o NT, se puede iniciar updatetrk sin opciones, entonces deben crearse un archivo temporal,
usando el File pagefile.sys. De no ser este el caso, deberá indicarle al Script, con el argumento
"-b", donde hallará espacio (por lo menos 250 MB) para que el sistema pueda iniciarse.
El Script comienza preguntado si desea utilizar Captive-NTFS. Este es, desde que existe ntfs-3g, obsoleto y
puede denegarse. A continuación busca las nuevas definiciones de virus para el Scanner y los instala.
Al final copia las carpetas "/bin", "/sbin", "/etc" y "/lib" en la
nueva imagen. Todos los cambios ejecutados, estarán considerados en la nueva versión.
Después de esto se crea un nuevo archivo ISO en la carpeta temp de la partición donde se
encuentre el archivo pagefile.sys. Con la opción "-i" puede indicársele al Script otro
lugar donde depositar dicho archivo. El Script funciona solo cuando el CD TRK se encuentre en el lector de CD.
En el caso de que TRK se inicie (booting) en la memoria RAM, bota el CD del lector. En ese caso deberá
iniciar TRK en modo estándar o atar (montar) el CD manualmente.
"trk2iso" crea el archivo ISO del Trinity
Rescue Kit en funcionamiento. Como en "updatetrk", pero no baja de Internet Update alguno. El archivo
lo encontrará, posteriormente en la carpeta desde donde inicia el Script.
"trk2usb" copia el sistema operativo en un
Stick-USB o en un disco duro. Posteriormente puede salvarse el sistema en un medio USB y transportarse.
Condición para esto es que el ordenador pueda inicializarse desde un puerto USB.
ntfsundeleteall y photorec
"ntsfundelete" trata de encontrar todos los
archivos borrados en una partición NTFS y recuperarlos. La partición que debe ser revisada no debe
estar atada. A continuación deberá definirse la partición en la que deba colocarse los
archivos recuperados. El Script no escribe los archivos recuperados en la partición registrada. Existe el
peligro de reescribir otros archivos borrados. Por ejemplo, "ntfsundeleteall /dev/hda1 /<otra
partición>/temp" salvaría todos los archivos recuperados en "<otra
partición>/temp". El problema es que esta llamada del Tool recupera todos los archivos que
encuentre. Si se quiere recuperar solo archivos, los cuales estén 100% (completos), ayudaría o
resultaría mas adecuado el comando "ntfsundeleteall /dev/hda1 / <otra partición> /temp
100" .
Otra herramienta para recuperar archivos es photorec.
Este Tool es independiente del sistema de archivo que exista. Trata de reconocer los formatos de archivos
conocidos pero no es capaz de identificar sus nombres originales. Tras una acción de recuperación,
deberá el usuario acometer esto a mano.
Servidor de archivos (File Server) con Samba
Con el comando "fileserver" se inicializa Samba bajo TRK. De esta forma puede accederse desde otros
ordenadores a esta unidad. El Script posee dos opciones:
Modo seguro, el cual se inicia con la opción "fileserver -s". Este modo pregunta el nombre
del usuario y su contraseña. Posteriormente, solo este usuario tendrá acceso a las particiones
atadas.
Modo de visita, opción "fileserver –g". Le otorga a todos los miembros de red permiso de
acceso a los datos, por lo que el usuario debe valorar la importancia de los datos del sistema a salvar.
El Script llama también a "mountallfs –g". Posteriormente, indica la dirección IP en
la cual ha de encontrarse el servidor Samba. Hecho esto, podrá encontrarse el ordenador TRK en la red
y accederse a la partición montada.
Utilizar Trinity Rescue Kit como "bridge" para "sniffing"
TRK permite, con esa función, utilizarse como bridge. De esta manera puede conectarse entre, por
ejemplo, un ordenador y un switch y escuchar el tráfico completo del PC en la red. Todo lo que se
necesita es un ordenador con dos tarjetas de red. Es importante tener en cuenta que las direcciones IP deben
ser únicas (por tarjeta). De tener ambas la misma dirección IP, desconecte una, digamos, la
número 2, con "ipconfig eth1 down". A continuación llame el modo Bridge con
"bridge up".
Con "tcpdump –i eth0" puede comenzarse con la escucha (sniffing). Con esto puede verse el trafico
que parte del PC. Si se quiere filtrar la observación, "grep" es una ayuda. Por ejemplo, si
se quiere escuchar solo el trafico HTTP, el comando debe ser: "tcpdump -1 eth0 | grep http".
Es posible poner varios grep, uno tras de otro. Si se desea observar el tráfico de la dirección
IP 192.168.1.100, deberá llamarse el tool de la siguiente manera:
"tcpdump -i eth0 | grep 192.168.1.100 | grep http".
setip y setproxy
Con "setip" le concede una dirección
IP fija a una tarjeta de red. Ejemplo: "setip eth0". El Strip pregunta por la dirección IP, la
cual debe ser concedida, la mascara de subred, la default gateway y el Servidor DNS. Los dos últimos son
opcionales, pero son necesarios cuando se desee acceder a Internet.
Con "setproxy" puede establecerse la
configuración del TRK-Proxy, el cual resulta interesante, cuando la conexión con Internet no puede
establecerse directamente. El Script preguntará por la dirección IP o el nombre del Host del
Servidor-Proxy, el puerto y opcionalmente, el nombre del usuario y su contraseña. Este Script puede
incorporarse en el menú de inicio. Las siguientes aplicaciones utilizan la configuración del
Proxy: wget, links, ClamAV, F-Prot, GrisoftAVG y BitDefender.
 |
|
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
|
|
|
|
