lunes, 1 de septiembre de 2008

LockDir no es seguro

M3GA [raidelgo@infomed.sld.cu]

Hace ya un tiempo nuestro colega l1nk develó una vulnerabilidad del famoso software Hide Folder XP, en aquel entonces este era uno de los programas para ocultar carpetas más utilizado, después de esto muchos usuarios, entre ellos yo, nos vimos obligados a emigrar de programa y buscar uno que fuera más seguro, fue en ese entonces que entró en escena el Lockdir, que de momento no tenía ninguna vulnerabilidad y ocultaba de manera muy eficiente las carpetas y archivos de la PC y sin necesidad de tenerlo instalado en la máquina por lo cual también se podía portar en dispositivos USB (Memorias Flash, Mp3, y HD Extraíbles). A medida que se volvió popular entre los usuarios, se planteó en uno de los encuentros de la Black Hat un reto a descubrir alguna vulnerabilidad al mismo y al momento se plantearon varias teorías de cómo debía de funcionar esta aplicación (de cómo ocultaba los directorios).

Antes que todo advertirles que aún no sé todos los detalles de cómo trabaja este soft, solo decirles una

Pues este programa solo hace la función de mover toda la información del directorio raíz donde estuviera a una carpeta llamada: Thumbs.db.{d3e34b21-9d75-101a-8c3d-00aa001a1652} (El número que está entre llaves puede variar), que esta a su vez esta dentro de otra carpeta llamada: system. que también esta dentro de otra carpeta llamada: sysúøúø (así se llama) y esta está por último dentro del directorio Thumbs.db,

Pasemos ahora a explotar su vulnerabilidad utilizando como única herramienta el 7-Zip File Manager (o simplemente 7-Zip), este maravilloso compactador que nos brinda la posibilidad de ser el único (que conozca hasta ahora) capaz de abrir la carpeta antes mencionada system. Una vez dentro abrimos la carpeta Thumb.db.{d37uhdf- etc.….} y Bingo! Ahí está toda la información “protegida”. Además, si se dieron cuenta, dentro de la carpeta system. Hay tres archivos:

1. dir.fod
2. file.fod
3. ps.fod

Me tomé el trabajo de averiguar que tenían dentro para así poder comprender el modo de función del soft y aunque no pude lograrlo del todo, si vi que estos tres archivos tienen toda la información organizada de la carpeta protegida por él.

A pesar de la extensión estos archivos se abren fácilmente con el notepad (block de notas), y en ellos aparece la siguiente información:
dir.fod: Los nombres de los directorios (carpetas) que se encuentran dentro del programa.

file.fod: Los nombres de los archivos que se encuentran en el directorio raíz de la carpeta protegida.

ps.fod: El nombre de la carpeta protegida y la contraseña encriptada.

La contraseña en este caso era “aa” fíjense como la cambió por dos tildes.

Bueno lamento no poder darles más detalles del funcionamiento del programa, mi objetivo principal en este artículo es demostrarles que Lockdir ya no es tan seguro. Si hay alguien que sepa más detalles sobre esto le agradecería que lo compartiera con la comunidad. Y bueno ya basta de muela, jajaja. Hasta pronto.



Artículos relacionados


38 comentarios:

Anónimo dijo...

Hola:

Muy interesante tu articulo. Tengo una pregunta ¿sabes como borrar ese directorio? Si lo intento el sistema no me permite borrarlo y la verdad ya no me sirve ¿alguna idea?

Anónimo dijo...

pero como recupero los archivos... tengo eseproblema desde hacetiempo pero necesito sabercomo recuperarmis archivos .. nomepermite moverlos ... q hago porfaaaaaaa

Anónimo dijo...

Hola mi nombre es luis y queria agradecerte el artculo porque recupere todas las fotos que habia perdido. Lo que me paso fue esto en una carpeta que tenia con clave lockdir no me di cuenta y le agregue mas fotos. COn lo cual me bloque la entrada a las fotos anteriores. Vi con fastoneviewr que estaba esa carpeta thumbs.db y con el 7zip las extraje a todas las fotos.

Sos un genio

Pett3R dijo...

ok, es solo un programa más. No lo uso dsp de todo ;)_ salu2.

Anónimo dijo...

el problema es q no encuentro en donde esta ese directorio como lo encuentro?

Matlock dijo...

El programa se veía bien pero a mi me empezó a fallar una vez quise desproteger el directorio y el programa me arrojaba error de password, teniendio barios archivos ocultos, logre solucionar con un cd live de ubuntu entre al directrio via linux estaban los archivos mencionados saque todos mis archivos los puse en una directorio limpio y despues borre el lockdir, solucionado

Anónimo dijo...

hey, bastante bueno, recien tube una bronca con este programa que no me fallabapara nada, no me reconocia la contraseña, lo cual es muy raro mi contraseña es demasiado sencilla,

Y pues con el 7zip los abro perfectamente, y mejor las copie a otro directorio y listo,

lo unico que tengo duda es lo de los arhivos, el ps.fod
debe aparecer la contraseña que habia puesto ahi? o solo los apostrofes?

como sea... yo no puedo abrir esos archivos con el bloc de notas.. me dice que no encuentra la ruta o algo asi..

en fin, el lockdir es vulnerable facilmente,

gracias brother =)

Bosster_018 dijo...

Amigo muchas gracias por esta informacion
Pero te cuento que el LockDir es mucho mas vulnerable de lo que piensas pues he logrado romper esa proteccion tan simple y tambien he crado un programa para recuperar tus archivos.
El programa lo bautize con el nombre de "HackLockDir" y se encarga de recuperar tus archivos que protegiste pero que luego te olvidaste la contraseña.
Lo publiqué en Taringa.net:

http://www.taringa.net/posts/downloads/2583535/Lockdir-es-vulnerable.html

Index Librorum Prohibitorum dijo...

Hola, me ha servido de mucho para enterarme de como funciona el sistema, pero esto no funciona con la version mas reciente 5.3.5.0
No se como funciona, me podrias ayudar?
Necesito saber como desbloquear y/o borrar su contenido...

index360@gmail.com
deseo que me ayudes, tambien puedo hacer algo...

Bosster_018 dijo...

Recuperar archivos protegido en LockDir (2da parte) aqui:

http://www.taringa.net/posts/taringa/2692373/C%C3%B3mo-recuperar-archivos-del-LockDir.html

Nota.- Debes saber trabajar con archivos Bath o desde la consola de comandos CMD

Anónimo dijo...

hola soy russel, se puede extraer los archivos protegidos por lockdir con un simple programa como el zip o el rar. yo ya lo hice y pude recuperar todos mis archivos.

celsius100 dijo...

SE PUEDE SABER LA CONTRASEÑA LOCKDIR
SE PUEDE SABER LA CONTRASENA
LOCKDIR
1. Es muy sencillo siguen los pasos publicados en este articulo, luego abres el archivo ps.fod y claro aparecen simbolos raros...
2. Luego abres mapa de caracteres de windows y dejenle en una fuente estándar por ejemplo ARIAL.
3. La contraseña sería una letra posterior al que aparece en el archivo abiero ps.fod... o sea si aparece `` la contraseña seria la aa, si aparece lntrd la contraseña seria mouse.
fijense en el orden alfabetico... es sencillo.
PROTECCION ROMPIDA CON EXITO....
dudas
cesaraegill@hotmail.com

Anónimo dijo...

Todo muy bien y se agradece bastante el análisis que se hizo para detectar su vulnerabilidad, pero no olvidemos que este programa uno lo utilizaría solamente para evitar curiosos en tus carpetas (que generalmente son usuarios no expertos) y no para un uso profesional como por ejemplo proteger datos críticos de una empresa.

Anónimo dijo...

Muchisimas gracias, se como agradecerolos, os voy a poner de pagina de inicio y voy a generaros ingresos. Me habeis salvado de perder todos los archivos que llevo coleccionando toda mi vida casi 150GB de material informatico. Muchísimas gracias.

Mi web http://franxkomp.es.tl/
Os voy a poner en mi web.

Anónimo dijo...

holaa!! necesito ayuda, por favor!!
he encriptado todo mi dico duro 400gb de info con el lock dir sin ningun problema hasta ahora, la ultima vez lo ejecute y desaparecieron todas las carpetas de mi idco duro, no puedo acceder a ellas, no puedo ejecutar el lock dir ha desaparecido todo, en propiedades aparece que la info esta ahi porque marca los 400gb usados pero no puedo entrar en ello (y las carpetas ocultas estan como para ser mostradas)
ayudame, por favor!!

jeshufles dijo...

baja el porgrama 7-zip lo instalas lo abres buscas el lockdir donde tienes tus archivos los copeas y los pones en una carpeta diferente y ya esta los tienes liberados

Anónimo dijo...

Pero busque en todos lado y no encuentro esa carpeta :´(... estupido programa voy a enloquecer, necesito las cosas de la escuela y ya hace mas de una semana que estoy desperdiciendo el tiempo T_T

van_button dijo...

nesecito ayuda porfavor estoy enloqueciendo les contare mi situacion..instale el prograsma y me funciono de maravilla tengo como un mes con el pero ayer mi computadora se infecto con un troyano y infecto 38 archivos como el ares k aparecec omo desinstalado y entre ellos se infecto el locdir entonces abri el avast para k escaneara el sistema y eliminara el virus despues de la reiniciado entonces empezo a escanear todo el sistema y elimino segun el virus al iniciar la compu me di cuenta que varias cosas aparecian como desinstaladas y abri mi carpeta con contraseña y no aparece nada pero creo k los archivos esta pork mi disco duro sigue con el mismo espacio ocupado por lo que me urge sacarlo ya que tengo mi proyecto de la escuela y me urge al abrir la carpeta esta vacia , el lockdir no aparece ni me pide contraseña todo esto lo ocasiono el avast al eliminar el virus el cual sigue ahi me urgemi archivo de la escuelA AYUDA PORFAVOR SE LOS AGRADECERIA DEMASIADO YA QUE NO SE QUE HACER SE ME VIENE EL TIEMPO ENCIMA

Reynier Matos Padilla dijo...

Amigo van_button, te recomiendo que instales Kaspersky, elimines el virus de tu equipo y luego lo intentes con los pasos que aparecen en este artículo.

Suerte!!!

julio dijo...

SENCILLAMENTE ERES UN GENIO, GRACIAS MI PANA ME HAS SALVADO.... SALU2

Anónimo dijo...

hola a todos bueno el problema es el mismo para mi (creo), lo que pasa es que formatee mi maquina, eh instale win7 mis archivos estan en otras particiones de ahora no acepta ninguna contraseña, no desbloquee mis archivos antes de formatear asi que estoy frito alguien que me ayude con este bendito folder protecter please!
necesito recuperar mis archivos...

Anónimo dijo...

no inventes tenia como 300 fotos desde la primera vez que conoci a mi apreja y uff me meti al sistema me decian que entra en ejecutar y tantas cosas que tenia miedo hasta de descomponer la computadora tantos inventos que le hice qeu se reiniciaba y fue tan sencillo con tu recomendacion que si te conociera te invitaba una comida cena o almuerzo o hasta los tres por eso el mundo crece por gente tan inteligente como tu saludos karina

Anónimo dijo...

Hola, ya pude recuperar los archivos que tenia bloqueados con el 7-Zip y los copie a otra carpeta,pero ahora tengo 15GB menos en mi DD ya que cuando la copie se duplico y no se como borrar la que estaba bloqueada para eliminar esos otros 15 GB.
Alguien me puede decir como?
Saludos.

Anónimo dijo...

YO USABA LOCKDIR HASTA QUE UNA MAÑANA AL ABRIRLO TENIA MIS PROGRAMAS MAS CHIDOS Y SOLO AL DARLE LA OPCION RESTAURAR SE BORRÓ TODA MI INFORMACIÓN Y DESDE ENTONCES GUARDO MI INFORMACIÓN IMPORTANTE N UNA MEMORIA ESPECIAL.

Anónimo dijo...

Chicos solo extraigan la carpeta completa n dodne se encuentra su info guardada a otro lugar
denle click derecho luego mover a cualquier carpeta por ejemplo el escritorio, gracias por el dato me sirvio mucho

delphiladero dijo...

Mi problema es el siguiente: Habia usado el lockdir en forma regular, y lo tenia en un disco duro externo, y en el cual el estuche adaptador de aluminio comenzo a darme problemas, tratando de ser previsor, abri una carpeta nueva de respaldo y ahi guarde varios archivos de varios tipos, (ENTRE ELLOS LA CARPETA DE LOCKDIR DONDE TENIA MI INFORMACION PERSONAL)

Y paso la carpeta a un disco duro externo Iomega. resulta que estan todos los archivos intacto, excepto los que estaban dentro del LOCKDIR, no olvide la contraseña, porque la use por mucho tiempo. Sin embargo al tratar de abrirlo, me lo da como si fuese nuevo todo. es decir, agregar una contraseña nueva, y confirmarle. sin embargo... lo que antes habia no aparece... que puedo hacer? gracias! (uso windows vista)

Ultimo David dijo...

Hola:

excelente descubrimiento, sin embargo sigue siendo el mas seguro,

aparte del 7-zip file manager, tambien se pueden ver esos archivos ocultos en carpetas de extensiones raras con el explorador de archivos del acdsee powerpack 7...

Anónimo dijo...

excellente ---te lo agradezco eres gandalla

Anónimo dijo...

Viejo excelente, no sabe de la que me saco, ya que tenia informacion muy importante dentro de un .dir, pero se daño y cuando hice lo del 7zip, me funciono. Que detalle, gracias por la informacion.

Anónimo dijo...

y el archivo nod32 ke contiene la carpeta en cuestion donde kedo??? solo veo lo ke dice contener.

Tu Llave dijo...

Muchas gracias!!!! Instalé el programita, y me permitió ver todo el contenido de la carpeta protejida. Me salvaron!

Retardo dijo...

Gracias!!! me salvaste, el programa se echo a perder, la clave que siempre usaba, de un minuto a otro me decia "Clave incorrecta"!!!! pero gracias a este dato salve los archivos XD

F45T3R dijo...

gracias man de verdad me sirvio orqeolvide la contrasea y si descargabatodo el contenidode nuevo me ivan a multar por tenner todo el año lapc prendida sifuera taringa te merecerias +10puntos.

Amadeus dijo...

Algun programa que nos puedas recomendar que no sea vulnerable para proteger archivos?

Anónimo dijo...

oigan haber si me pudieran ayudar, resulta que la porqueria de lockdir de la
noche a la mañana ya no me abre, me pone contraseña incorrecta y le pongo la
que siempre le he puesto pero nada, ya le hice como ustedes dijeron aqui, lo
abrí con el 7zip, pero no me muestra mi informacion, ni la carpeta thumbs, ni
la carpeta system, ni los archivos esos que ustedes dicen, sino que me muestra
lo siguiente: CODE,DATA, BBS,.idata, .tls, .rdata, .reloc, .rsrc, .aspack y
.adata y eso es todo.
Si me pudieran ayudar se los agradecería mucho

Anónimo dijo...

Muchisimas gracias Black Hat eres lo máximo gracias por la información de verdad me salvaste la vida logre recperar todos mis archivos. te quiero.

Anónimo dijo...

Black Hat eres un genio muchaaas gracias recupere my información 250 Gb que se me bloquearon muchas gracias esta es la ruta donde los encontré con 7zip E:\nombre de la carpeta \Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\LastF\

Anónimo dijo...

Necesito ayuda urgente.

resulta que hice copia de seguridad para cambiar mi sistema operativo de win 7 a win 8, despues de instalarlo nuevamente copie los archivos al pc.

pero la carpeta que tenia de lockdir, desaparecio, no tiene nada.

como puedo recuperar mis archivos.