0x04: Manual Override & Forensic Recovery

// MISIÓN: Manual Override & Forensic Recovery

// TARGET: Web GUI Intercept & Evil Crow Firmware

// ESTADO: Real World Testing

0x01. El Problema del "Botón Gordo"

Las herramientas GUI como intercept son visualmente atractivas, pero en un despliegue real me han demostrado ser poco fiables. 

Durante mis pruebas en DragonOS, la interfaz parecía funcionar, pero falló en lo más sagrado para un analista, la exportación de logs. 

Si no hay logs, no hay evidencia, y si no hay evidencia, la operación no ha existido.

Mi solución fue inmediata: abandonar la comodidad visual y replicar toda la funcionalidad mediante CLI. 

Esto no solo me permitió asegurar la persistencia de los datos, sino que me obligó a resolver conflictos de hardware que la GUI simplemente ignora hasta que el sistema cuelga.

0x02. RTL-SDR: Resolución de Conflictos

El primer obstáculo fue el clásico error Device Busy. 

El kernel de Linux, por defecto, intenta usar el RTL-SDR como tarjeta de televisión (DVB-T). He tenido que "limpiar" el sistema manualmente para liberar el USB:

# Forzar la descarga del driver de TV
sudo rmmod dvb_usb_rtl28xxu
Eliminar procesos ‘zombie’ que secuestran el SDR
sudo killall -9 readsb rtl_433 rtl_fm
Persistencia: Blacklist permanente
echo “blacklist dvb_usb_rtl28xxu” | sudo tee /etc/modprobe.d/blacklist-rtl.conf

0x03. Evil Crow RF V2: La Guerra de los Firmwares

El Evil Crow RF V2 es una bestia de radiofrecuencia, pero su gestión depende totalmente del firmware que estemos corriendo. 

En mis pruebas he trabajado con dos vertientes:

Firmware Custom (h-RAT)

Este firmware no oficial es excelente para ataques rápidos. 

Por defecto, genera su propio Punto de Acceso (AP) llamado ECRF. 

Su interfaz web en 192.168.4.1 es donde gestiono ataques de Rolljam y Bruteforce. 

Es ideal cuando necesitas independencia de red.

Repo: h-RAT EvilCrow Custom

Firmware Original (Joel Serna)

El firmware original ha evolucionado. 

A diferencia del Custom, ahora suele operar en Modo STA (Station). 

Esto significa que ya no genera un AP; el dispositivo se une a una red existente (como el Tethering de mi móvil).

Repo: Joel Serna Original

LYNX: Debido a que el firmware original opera en modo STA y yo estaba trabajando en un entorno puramente CLI, utilicé Lynx para navegar por la interfaz web del dispositivo desde la propia terminal. Esto me permite configurar los módulos CC1101 sin necesidad de levantar un entorno gráfico pesado.

0x04. Conectividad Táctica (nmcli)

Cuando activo el Modo Monitor en mi tarjeta Wi-Fi para auditar redes, pierdo la conexión a Internet. 

Para mantener la comunicación y descargar herramientas mientras opero el Evil Crow en modo STA, utilizo nmcli para gestionar el anclaje a red (tethering) de mi móvil por USB o segunda interfaz:

# Listar redes y conectar al móvil
nmcli dev wifi list
nmcli dev wifi connect "MyPhoneHotspot" password "123456789"
Acceder a la interfaz del Evil Crow (STA) vía terminal
lynx http://192.168.x.x  # IP asignada por el móvil

---

"GUI makes it easy, CLI makes it possible."

[ EOF ]