viernes, 2 de septiembre de 2011

Posibles archivos infectados

Saludos Mundo Libre.

Aqui tocaremos un tema no muy comun para los que empiesan con el tema del hacking que son los archivos de windows  en especial en los registros de windows .



1.  Esto se aplica a todas las versiones de Windows, Windows9x tiene una carpeta de inicio global y WinXP/2K tiene un usuario y por todos los usuarios de la carpeta de inicio.

c: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup

Y

c: \ Documents and Settings \ username \ Start Menu \ Programs \ Startup

Windows abre todos los elementos de la carpeta de inicio en el arranque / inicio de sesión, esta carpeta es fácil de encontrar y puede sólo 'haga clic derecho y borrar' para eliminar los elementos de la misma.

Tenga en cuenta lo anterior, dice "abierto" no "correr" esto significa que si hay un archivo. Txt, bloc de notas se abrirá si hay un archivo. Wav el programa predeterminado para el manejo de los archivos. Wav se abrirá y así sucesivamente. Atajos generalmente se ponen en la carpeta de inicio, pero los programas de todo / documentos / archivos se puede poner allí.

ORDEN DE INICIO PARA WINDOWS NT4/2000/XP/VISTA

El usuario introduce una contraseña y un inicio de sesión en el sistema

2. REGISTRO. Windows ejecuta todas las instrucciones en la opción "Ejecutar" del Registro de Windows. Los elementos de la opción "Ejecutar" sección (y en otras partes de la Secretaría se enumeran a continuación) pueden ser programas o archivos que los programas abiertos (los documentos), como se explica en el número 1 anterior.

Todas las claves Run:

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunEx]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunEx]

3. REGISTRO. Windows ejecuta todas las instrucciones en el "Run" del registro.

Gestión del equipo -> Servicios - artículos en "Automático"

4. REGISTRO. Windows ejecuta todas las instrucciones en el "RunOnce" del registro.

5. REGISTRO. Windows ejecuta las instrucciones en el "RunServicesOnce" de la Secretaría. (Windows utiliza los dos "RunOnce" secciones para ejecutar programas de una sola vez sólo, por lo general en el arranque siguiente, después de una instalación del programa.)

7. REGISTRO. Windows ejecuta las instrucciones en el HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command "% 1"% * sección del Registro. Cualquier comando incrustado aquí se abrirá cuando cualquier archivo exe se ejecuta.

Los posibles otras:

[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \ htafile \ Shell \ Open \ Command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command] = "\"% 1 \ "% *"
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ batfile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ comfile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ exefile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ htafile \ Shell \ Open \ Command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ piffile \ shell \ open \ command] = "\"% 1 \ "
% * "

Si las llaves no tienen el carácter "\"% 1 \ "% *" valor como se muestra y se cambian a algo como "\" somefilename.exe% 1 \ "% *" que son automáticamente invocar el archivo especificado.

8. Archivos por lotes. Windows ejecuta todas las instrucciones en el archivo por lotes Winstart, que se encuentra en la carpeta de Windows. (Este archivo es desconocido para casi todos los usuarios de Windows y la mayoría de los expertos en Windows, y no podría existir en el sistema. Usted puede fácilmente crear, sin embargo. Tenga en cuenta que algunas versiones de Windows llame a la carpeta de Windows el "WinNT" carpeta.) El pleno del nombre del archivo es Winstart.bat.

9. Archivo de inicialización. Windows ejecuta las instrucciones en el "run =" línea en el archivo Win.ini, que se encuentra en la carpeta Windows (o WinNT) carpeta.

10. Archivo de inicialización. Windows ejecuta las instrucciones en el "load =" línea en el archivo Win.ini, que se encuentra en la carpeta Windows (o WinNT) carpeta.

También maneja las cosas en el shell = en System.ini o c: \ windows \ system.ini:

[Inicio]
shell = Explorer.exe C: \ windows \ nombre de archivo

El siguiente nombre de archivo explorer.exe se iniciará cada vez que Windows se inicia.

Al igual que con Win.ini, los nombres de archivo puede ser precedido por un espacio considerable en esa línea, para reducir la posibilidad de que puedan ser vistos. Normalmente, la ruta completa del archivo se incluye en esta entrada. Si no es así, compruebe el directorio \ Windows


11. RELANZAMIENTO. Reposiciones de los programas de Windows que se ejecuta cuando Windows se apaga. Windows no puede hacer esto con la mayoría no los programas de Microsoft, pero lo hará fácilmente con Internet Explorer y el Explorador de Windows, el administrador de archivos y carpetas, integrado en Windows. Si usted tiene Internet Explorer abiertas al cerrar ventanas abiertas, Windows volverá a abrir el IE con la misma página abierta al arrancar de nuevo. (Si esto no sucede en tu PC con Windows, alguien ha hecho esa opción. Use Tweak UI, la libre circulación de usuario de Microsoft Windows Interfaz de gestión, para reactivar "Recordar la configuración de Explorer", o lo que se llama en su versión de Windows.)

12. Programador de tareas. Windows ejecuta las instrucciones de ejecución automática en el Programador de tareas de Windows (o cualquier otro programador que complemente o sustituya el Programador de tareas). El Programador de tareas es una parte oficial de todas las versiones de Windows excepto la primera versión de Windows 95, pero se incluye en Windows 95 si el Microsoft Plus Pack se ha instalado.

13. INSTRUCCIONES DE SECUNDARIA. Los programas que Windows inicia en el arranque es libre de poner en marcha programas por separado por su cuenta. Técnicamente, estos no son programas que Windows inicia, pero son a menudo indistinguibles de los de la administración corriente programas de auto-si se ponen en marcha inmediatamente después de su "padre" de los programas se ejecutan.

14. C: \ EXPLORER.EXE MÉTODO.

C: \ Explorer.exe

Windows carga explorer.exe (normalmente se encuentra en el directorio de Windows) durante el proceso de arranque. Sin embargo, si c: \ explorer.exe existe, se ejecutará en lugar del explorer.exe de Windows. Si c: \ explorer.exe está dañado, el usuario será efectivamente excluidos de su sistema después de reiniciar el sistema.

Si c: \ explorer.exe es un troyano, será ejecutado. A diferencia de todos los métodos de autostart otros, no hay necesidad de cambios de archivo o registro - el archivo simplemente tiene que ser llamada c: \ explorer.exe

15. Métodos adicionales.

Otros métodos de arranque automático. Los dos primeros son utilizados por troyano SubSeven 2.2.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Usershell carpetas

Icq Inet
[HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ test]
"Path" = "test.exe"
"Startup" = "c: \ \ test"
"Parameters" = ""
"Enable" = "Sí"

[HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ Agent \ Apps \]
Esta clave especifica que todas las aplicaciones se ejecutarán si ICQNET detecta una conexión a Internet.

[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ ShellScrap] = "objeto de desecho"
"NeverShowExt" = ""
Esta tecla cambia extensión específica de su archivo.

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ BootExecute]

Esto es lo primero que se ejecuta.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UserInit]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell]

Asi que hay que conocer bien los registros de windows para asi poder crear aplicaciones que destrullan a nuestra victima sin reparo.

Saludos Mundo Libre.

No hay comentarios:

Publicar un comentario