lunes, 27 de octubre de 2008

Menus ocultos (I)

Kloster [afalcon@infomed.sld.cu]

El sistema operativo Microsoft Windows XP incluye muchas funciones a las que tan sólo podemos acceder a través de la consola de comandos. A menudo estas herramientas nos pueden ayudar a mejorar el rendimiento de nuestro sistema operativo, diagnosticar y corregir problemas o simplemente obtener más información sobre la configuración de nuestro equipo.

Para acceder a la consola de comandos, tan sólo tendremos que ir al menú Inicio, seleccionar la opción ejecutar y escribir cmd.exe ó simplemente cmd. También podremos acceder a este menú mediante la combinación del teclado tecla Windows + R.

Para obtener ayuda adicional sobre un comando, las opciones que incluye y algunos ejemplos de uso, tan sólo tendremos que añadirle la opción /h ó /?.

Archivos y sistemas de ficheros

cacls: Permite modificar los permisos en ficheros y carpetas, permitiendo o prohibiendo a cada usuario leer, escribir o modificar el contenido de dichos archivos o carpetas.

chkdsk: Comprueba el estado de una partición y repara los daños en caso de que encuentre alguno. Si lo ponemos sin ningún parámetro simplemente escaneará la partición, si queremos que además corrija los errores, deberemos añadir la opción /F, es decir, chkdsk /F.

cipher: Permite cifrar archivos, directorios o particiones siempre que se encuentren en el sistema de archivos NTFS.

comp: Compara archivos o carpetas y muestra las diferencias existentes entre ellos.

compact: Permite comprimir archivos o carpetas para ahorrar espacio en el disco duro. Para comprimir los archivos deberemos utilizar el modificador /c y para descomprimirlo en modificador /u. Por ejemplo, para comprimir la carpeta c:\pruebas debemos utilizar el comando compact /c c:\pruebas y para descomprimirla compact /u c:\pruebas.

convert: Convierte particiones FAT ó FAT32 a NTFS. Antes de utilizar este comando es recomendable realizar una copia de seguridad puesto que es posible que durante la conversión se pierdan datos.

defrag: Desfragmenta los archivos de una unidad, similar a la utilidad Defragmentador de discos de Windows pero en modo consola.

diskpart: Permite crear, eliminar y administrar particiones. Este programa en modo consola debemos utilizarlo con cuidado puesto que es fácil que eliminemos sin darnos cuenta todo el contenido del disco duro o de la partición activa.

find y findstr: Estos comandos buscan cadenas de textos en el interior de uno o varios archivos. Sin embargo, el comando findstr ofrece más opciones de búsqueda que el comando find.

iexpress: Este comando lanzará un asistente para crear archivos comprimidos .CAB autodescomprimibles.

openfiles: Muestra a un administrador los archivos abiertos en un sistema a un administrador y permite desconectarlos si se han abierto a través de red.

Configuración del sistema

bootcfg: Permite ver y modificar las entradas del archivo boot.ini. Estas entradas nos permiten seleccionar con que sistema operativo deseamos iniciar el equipo.

control userpasswords2: Permite modificar las claves y los permisos de los diferentes usuarios, así como requerir la pulsación de control+alt+suprimir para poder iniciar sesión, haciendo el inicio de sesión más seguro.

driverquery: Hace un listado de todos los drivers instalados en el sistema y muestra información sobre cada uno de ellos.

dxdiag: Lanza la herramienta de diagnóstico de Direct X, con la cual podremos comprobar la versión Direct X que tenemos instalada y permite comprobar mediante tests que todo lo referente a estos controladores funcione correctamente.

gpresult: Muestra información sobre las políticas de grupo aplicadas a un usuario.

gpupdate: Vuelve a aplicar las políticas de grupo.

msconfig: Desde esta aplicación en modo gráfico podremos seleccionar que programas y servicios se cargan durante el inicio de Windows así como los sistemas operativos que el usuario puede seleccionar para iniciar el ordenador.

pagefileconfig: Permite configurar el archivo de paginación de Windows (Memoria Viltual).

prncnfg: Muestra información sobre las impresoras instaladas

prnjobs: Muestra información sobre los trabajos de impresión en cola.

reg: Permite ver y modificar valores del registro de Windows. Las opciones posibles son:
reg query   => realiza una consulta en el registro
reg add     => añade una entrada al registro
reg delete  => elimina una clave del registro
reg copy    => copia una clave del registro a otra parte del registro o a otro equipo
reg save    => guarda una parte del registro en un archivo
reg restore => restaura una parte del registro de un archivo
reg load    => carga una clave o árbol al registro desde un archivo
reg unload  => descarga una clave o árbol del registro
reg compare => compara varios valores del registro
reg export  => exporta el registro o parte del registro a un archivo
reg import  => importa el registro o parte del registro de un archivo

regedit: Editor del registro en modo gráfico.

sc: Este comando nos permite administrar los servicios, ya sea iniciar uno, detenerlo, mandarle señales, etc.

sfc: Este comando permite buscar archivos del sistema dañados y recuperarlos en caso de que estén defectuosos (es necesario el CD de instalación del sistema operativo para utilizarlo). Para realizar una comprobación inmediata, deberemos ejecutar la orden sfc /scannow.

systeminfo: Muestra información sobre nuestro equipo y nuestro sistema operativo: número de procesadores, tipo de sistema, actualizaciones instaladas, etc.

taskkill: Permite eliminar un proceso conociendo su nombre o el número del proceso (PID).

tasklist: Realiza un listado de todos los procesos que hay. Útil si deseamos eliminar un proceso y no conocemos exactamente su nombre o su PID.

Continuar leyendo

Virus n0k3b2.bat

Alien [blackhat4all@gmail.com]

Datos del Virus

Es un Troyano bastante común, utiliza como medio de propagación la autoejecución en memorias flash gracias a un autorun.inf que está ofuscado. Tiene fecha de modificación del domingo 31 de agosto de 2008 a las 11:42:42. No está comprimido con UPX y es posible que esté programado en C y es posible que sea una variante de kavo.exe


Características:

Al ejecutarse lo primero que hace es dirigirse a todas las raíces de las unidades guardándose como n0k3b2.bat y haciéndose acompañar de un autorun.inf, con lo que garantiza su ejecución cada vez que se abre el explorador y se hace doble clic para entrar a una unidad infestada, o en su defecto cada vez que se introduce una memoria infestada y la máquina permite la autoejecución. Así como se guarda en las raíces también va a parar a la carpeta C:\Windows\System32 donde se aloja con el nombre kxvo.exe y al parecer no se va acompañado de ningún otro archivo.

Mediante el registro es llamado cada ves que la máquina inicia sesión y esto lo hace desde la dirección del registro: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, clave kxva valor C:\WINDOWS\system32\kxvo.exe

Una vez que el virus se ha instalado correctamente en la PC, se mantiene ocultando a todos los Archivos y Carpetas de las raíces de las unidades, pero no del resto de la unidad, por lo que si se logra quitarle los atributos de oculto y sistema al archivo C:\WINDOWS\system32\kxvo.exe, este queda totalmente expuesto de forma permanente.

A diferencia de otros virus, el archivo que se carga al inicio de sesión y el que está en la raíz de la unidad tienen el mismo tamaño y código, por lo que se trata en realidad del mismo fichero que se comporta de forma distinta según desde el lugar que se haya cargado.

Desinfección.

Para librarnos de este virus, simplemente debemos ir al registro de Windows y desde allí eliminar la clave kxva que se encuentra en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Una ves hecho esto, para mayor seguridad eliminaremos en C:\WINDOWS\system32\ el archivo kxvo.exe.

Interesante:

Una vez que nos hayamos librado del virus y ya no esté ni ejecutándose ni físicamente en nuestro sistema, a pesar de que reiniciemos continuaremos sin poder ver los archivos ocultos, y es que no solo el virus era quien controla esto, sino que modificó algunas claves en el registro para que estos archivos y carpetas continuaran siendo invisibles para el usuario.

Y digo interesante porque en realidad son claves que por lo general o no son dominadas por otros viruker o no han sabido trabajar con ellas.

Las claves en cuestión se encuentran en HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN y HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL

En ambas direcciones existe una clave denominada CheckedValue que se corresponde con los valores para el tratamiento de los archivos y carpetas ocultos que aparece en las Opciones de Carpetas del Explorador.

Este virus en particular coloca en ambas claves de las direcciones del registro el valor 0, pero será muy difícil que puedan entender esto sin antes saber que significa, así que trataré de exponerlo de la mejor forma posible haciendo uso de una tabla.

Nota: En la tabla HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN\ CheckedValue ha sido reemplazado por NOHIDDEN simplemente y HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ CheckedValue por SHOWALL

Clave

Valor

Acción

NOHIDDEN

0

Esto significa que por más que se intente marcar una opción, esta no surtirá efecto en el Explorador y cuado se visualicen las opciones de carpeta aparecerán ambas opciones desmarcadas.

SHOWALL

0

NOHIDDEN

1

Esto significa que hará lo contrario de lo que está diciendo, o sea, si se marca "Mostrar todos los archivos y carpetas ocultos" el efecto será el contrario, y viceversa. Cuando está así, al abrir las opciones de carpetas solo aparecerá marcada la opción “No mostrar archivos ni carpetas ocultos” en caso que esa haya sido la selección del usuario anteriormente, en caso contrario ambas aparecerán desmarcadas.

SHOWALL

0

NOHIDDEN

2

Esto significa que por más que se quieran mostrar los archivos ocultos, estos no serán mostrados y cuando se abran las opciones de carpetas estará en "No mostrar archivos ni carpetas ocultos".

SHOWALL

0

NOHIDDEN

0

Esto significa que mostrará o no los archivos y carpetas ocultas tal y como se solicita, pero en caso que la opción deseada sea "No mostrar archivos ni carpetas ocultos" cada vez que se abran las opciones de carpetas aparecerán ambas opciones desmarcadas, no siendo así cuando se seleccione "Mostrar todos los archivos y carpetas ocultos" en cuyo caso todo aparecerá normal.

SHOWALL

1

NOHIDDEN

0

Esto significa que por más que se quiera seleccionar "Mostrar todos los archivos y carpetas ocultos", estos jamás serán mostrados y al abrir las opciones de carpetas el único valor que aparecerá marcado es "No mostrar archivos ni carpetas ocultos"

SHOWALL

2

NOHIDDEN

1

Esto significa que, sin importar la opción que se seleccione, cada vez que se abran las opciones de carpetas ambas elecciones aparecerán marcadas y en cualquiera de los casos siempre se mostrarán los archivos y carpetas ocultos.

SHOWALL

1

NOHIDDEN

1

Esto significa que en las opciones de carpetas se conservará la selección hecha por el usuario, pero las acciones serán inversas.

SHOWALL

2

NOHIDDEN

2

Si está así, entonces ejecutará exactamente la acción que se desee y además las opciones de carpetas conservarán el último valor que se seleccionó por parte del usuario. (Ok)

SHOWALL

1

NOHIDDEN

2

Esto significa que, a pesar de la selección que se haga en las opciones de carpetas, al abrirla esta siempre tendrá ambas opciones de selección marcadas y en cualquiera de los casos no se mostrarán los archivos o carpetas ocultos.

SHOWALL

2


Dada la variante utilizada por el Viruker, esto hace que por el momento este sea mi virus favorito (después del runauto del cual aún no me dejan hablar).

No obstante espero que Carlos y todos aquellos que se encuentran infestados por este virus puedan resolver su situación y de paso aprender algo nuevo.

Continuar leyendo

Controla XP (IV)

Thunder [yuniet02015@hab.jovenclub.cu]

Un saludo a todos los que semana tras semana se dan a la tarea de garantizar que en nuestros buzones de correos cada lunes se encuentre esta magnifica revista, y no es guataquería caballero, vale aclarar, es reconocimiento a estos muchachos que se han comprometido con los seguidores del arte Underground en este país, que aunque ellos dicen que aún no es un calificativo, yo lo creo así, adelante muchachos que este trabajo es de los mejores en el país…. ;-) Un saludo también para los que lunes tras lunes reciben esta e-zine, colaboran de una forma u otra o simplemente la leen de punta a cabo.

Bueno pues nada, que seguimos “tomando el control de la situación XP” jeje. Como les había dicho en esta ocasión vamos a ver lo que respecta a las pantallas de inicio y apagado de WinXP.

AL ATAKE

Para hacer lo “nuestro”, vamos a editar los recursos de los siguientes ejecutables:

- ntoskrnl.exe
- msgina.dll
- logonui.exe
- winlogon.exe

Como siempre, hacemos una copia de estos archivos, que son con los que vamos a trabajar (recuerda, por cuestiones de seguridad, nunca trabajar con los archivos originales, directamente, ya que si se nos enreda la pita, no podremos volver atrás). Para hacer esto dirígete a \Windows\System32\. Y copia los archivos especificados arriba a tu carpeta. Como ya hemos tratado esto en las anteriores partes, esta de más decir que el procedimiento es el mismo.

-Abrimos nuestro RH y seguidamente nuestra app. (Cualquiera de las 4)
-En “Bitmaps” tenemos lo que vinimos a buscar, entra en el que quieras modificar.
-Lo salvas a tu carpeta: Action/Save [Bitmap: xxx: xxxx]
-Lo modificas con un editor de imagen (photoshop, photoexpress, paint, etc.)
-Luego lo cambias: Action/Replace bitmap.../Open file with new bitmap, buscamos nuestra imagen y clickeamos OK.

Además de los “Bitmaps”, para cambiar lo que es el estilo visual de nuestras pantallas de presentación y despedida de win, también podemos modificar las “Strings” o “String Table” de nuestras aplicaciones y sus ventanas, forms o dialogs, como quieran decirles, y de esta forma lograr un S.O en el que se mencione mas nuestro nombre, un S.O que reconozca mas a su supremo amo, o sea, nosotros, o…no se, lo que se te ocurra, jeje. Recuerda que siempre que se modifique una “String” o un “Dialog”, debemos compilar dicho cambio, de lo contrario, no se producirá. Al final vamos a File/Save.

Aspectos principales (lo demás queda por tu cuenta)

ntoskrnl.exe:
-La imagen principal de la pantalla de inicio (boot) de WXP se encuentra en Bitmap/1/3082. Es una imagen en negro que podemos cambiar para lograr un mejor aspecto.
-Véase además Bitmap/5/3082

msgina.dll:
-En AVI/2413/3082, tenemos un avi que es el que se usa para demostrarnos en el inicio de sesión como hacemos uso de la comb. Ctrl.+Alt+Del…que se te ocurre???
-En “Dialogs” podemos modificar unas cuantas ventanas de nuestro XP. En 2250/3082, tenemos la ventana de cierre de sesión y en 20100/3082, la de apagado del equipo.
-Revisa la “String Table”

logonui.exe:
-En la clave UIFILE/1000/3082 aparece una pantalla en blanco, pero si haces un scroll saldrán códigos.
- En la clave String Table /1/ 3082 hay algunos aspectos de la ventana de bienvenida, revisa además las otras.

winlogon.exe:
-Revisa su “String Table”, echa un vistazo en 106/3082

Creo que lo demás es fácil, además, a estas alturas, dada las precauciones que hemos tomado y lo que hemos visto, no esta de mas que se investigue un poco con cada recurso de las aplicaciones, consulta cada Bitmap para ver los distintos dibujos, no se…lo que se nos ocurra. Lo que sí es importante es que respetes las dimensiones y profundidad de color de los dibujos que vas a modificar.

CAMBIANDO LAS COSAS

Ahora, después de haber cambiado cientos de bits de los ejecutables a nuestro antojo, vamos a cambiar las cosas de una vez por todas. Para esto hacemos otra copia de los archivos en cuestión, para ello volvemos a \Windows\System32\ y volvemos a copiar los archivos, pero esta vez en otra ubicación (esto por si cometimos algún error modificando los anteriores, para poder volver atrás en dicho caso y restaurar los originales). Habiendo hecho esto vamos a sobrescribir los que se encuentran en System32, lo más probable sea que al guardar los archivos y tratar de sobrescribirlos observas que no se modifican a pesar de haberlos cambiado. Eso es porque están en uso y no se pueden modificar mientras están siendo usados.

Que hacer?

Lo que necesitamos es poder sustituir estos archivos, pero como Windows los utiliza, tenemos que buscar el momento en que no lo haga, ese momento es justo antes de que el propio Windows cargue, entonces, para lograr esto, nos vamos a nuestra querida consola. Para ello arranca el sistema con la Consola de Recuperación, el Hiren’s Boot, ERD Commander o lo que sea:

1.- Configura la BIOS para que el sistema arranque desde el CDROM.
2.- Introduce el CDROM de Windows XP o cualquier otro de los anteriores
3.- Pulsa una tecla para entrar en el CDROM.
4.- Después de seguir los pasos específicos para cada disco de inicio y vernos frente a la consola, tecleamos lo siguiente
5.- C:\WINDOWS> CD SYSTEM32
6.- C:\WINDOWS\SYSTEM32> COPY D:\CONTROLAXP\msgina.dll msgina.dll
7.- Hacemos el mismo procedimiento con los otros tres archivos.

De ésta forma habremos podido sustituir el msgina.dll y los demás archivos que hemos modificado por los originales de Windows. Antes de hacer esto, siempre es aconsejable, como se dijo anteriormente, hacer una copia de seguridad del archivo que vas a modificar.

COMERCIAL

Microsoft suministra una aplicación llamada inuse.exe, que trata de solventar la imposibilidad de modificar un archivo que en ese momento se está ejecutando. En realidad no modifica el archivo en tiempo real sino que preparamos una copia del archivo modificado, ejecutamos la aplicación inuse.exe y en el próximo reinicio se efectúan los cambios. Googleala

MÁS DIFÍCIL TODAVÍA

Vamos hacer que podamos elegir entre dos pantallas de bienvenida. Para ello vamos a cambiar el nombre de nuestras “modificaciones”, Ej.: ntoskrnlmod.exe y seguidamente los copiamos a \Windows\System32\ . Ahora, tenemos el archivo ntoskrnl.exe original y tenemos el archivo ntoskrnlmod.exe que hemos modificado con nuestras cosas. Abrimos con el Bloc de notas el archivo C:\boot.ini (Es un archivo oculto y de sólo lectura, para verlo modifica las opciones correspondientes en las opciones de carpeta)

Veremos algo así:
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

Duplicamos y añadimos en la última línea para que quede así:
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XP Cambiado por Thunder" /fastdetect /kernel=ntoskrnlmod.exe

Ahora cuando arranquemos nos pedirá con qué pantalla de Bienvenida queremos iniciar.
El kernel por defecto es ntoskrnl.exe y el que hemos modificado lo hemos guardamos como ntoskrnlmod.exe

PALABRAS FINALES

Bueno, pues nada, espero que se la estén pasando bien con esta serie de cambios que le estamos haciendo a nuestros S.O y que, como les dije, investiguen por su cuenta y pierdan el miedo de “andar” con el sistema, en tus manos esta descubrir nuevas puertas, yo solo te estoy mostrando una de las ventanas. Nos vemos en la próxima andanza, en la que trastearemos otra aplicación bastante usada por muchos y sustituida por otros (incluyéndome).

Bueno, espero que hayan leído bien el articulo, les haya interesado, lo hallan entendido (fundamental) y, que como siempre les digo….Hagan una copia de su ejecutable.

Continuar leyendo

Programar en Batch (II)

Bill WHG [michel.grc1@gmail.com]

Continuamos con algunos comandos de MS-DOS muy comunes que en programas Batch.

- Pause: Este comando lo que hace es que para el programa hasta que se pulse una tecla. Es muy útil porque si creamos un programa como este, explico mejor como batch son archivos de procesamiento por lotes, se ejecutan rápidamente y seria imposible verlo, ahora usando este comando podemos ver paso a paso lo que esta sucediendo con nuestro proyecto:

Código:
cls
@echo off
echo HOLA

Como dije ya al ejecutarlo se abrirá y se cerrara tan rápidamente que no podremos ver lo que hace, en cambio haciendo así:
Código:
@echo off
cls
echo HOLA
pause

El programa no se cerrara hasta que pulsemos una tecla. Al escribir el pause en un programa cuando y lo ejecutemos, se vera esto:
Código:
Presione un tecla para continuar...
Si queremos que no se vea nada tenemos que escribir pause>nul, el símbolo > es una redirección que explicare mas adelante

- Cls: Esto no tiene ninguna complicación, lo único que hace es borrar lo que hay escrito en la pantalla, pongo un ejemplo:
Código:
@echo off
dir
pause>nul
cls
pause>nul
dir nueva carpeta
pause>nul

Este código te muestra el interior de la carpeta donde lo abres, al pulsar una tecla borra la pantalla y cuando vuelves a pulsar otra tecla te muestra el contenido de nueva carpeta que debe estar dentro de la carpeta donde se ha ejecutado.

- Time: Este comando muestra y te permite cambiar la hora del sistema

- Date: Este comando muestra y te permite cambiar la fecha del sistema

- Del: Sirve para borrar un fichero. Mira este ejemplo:
Código:
@echo off
del /q texto.txt

Este codigo borra de la carpeta donde se ha abierto el archivo "texto.txt" sin pedir confirmación ( para no pedir confirmación hay que usar el atributo /q). Para mas ayuda escribir help del. Si queremos borrar todos lo archivos que comiencen por texto y tengan la extensión .txt, escribiremos esto:
Código:
@echo off
del /q texto*.txt

Voy a poner algunos ejemplos de uso de comodines como el anterior, imaginemos que queremos borrar un archivo que se llama texto pero que en la extensión solo sabemos la 1º letra y la segunda, entonces escribimos esto:
Código:
@echo off
del /q texto.t?t

Por si no se ha entendido bien, el comodín " * " representa el resto de caracteres de un nombre y el comodín " ? " representa un carácter, así que si escribimos esto:
Código:
@echo off
del /q *.*
Borraremos todos los archivos de la carpeta donde lo hayamos abierto

- Start: Este comando abre una nueva ventana de la consola de comandos, aunque también puede abrir webs así:
Código:
@echo off
start www.google.es

- Type: Muestra el contenido de un archivo de texto, por ejemplo así:
Código:
@echo off
type texto.txt

- Title: Establece el titulo de una ventana de la consola de comandos, se usa así:
Código:
@echo off
title mi ventana
pause>nul
Esto cambia el titulo de la ventana a "mi ventana"

- Md: Crea un directorio:
Código:
@echo off
md carpeta
Esto crea un directorio llamado carpeta

- Rd: Elimina un directorio:
Código:
@echo off
rd carpeta
Esto elimina el directorio "carpeta" antes creado

- Copy: Copia ficheros y carpetas:
Código:
@echo off
copy texto.txt carpeta1
Esto copia el archivo "a.txt" en la carpeta "carpeta 1"

Bien, creo que ya he puesto los comandos más básicos, pasemos a la siguiente parte

REDIRECCIONES Y FILTROS

Aquí voy a explicar el uso de las redirecciones y los filtros, la cosa es bastante sencilla, pero no es tan sencilla como lo visto anteriormente. Primero hablemos de las redirecciones:

Por defecto los comando que se ejecutan van dirigidos a la pantalla de la consola, pero eso lo podemos cambiar, anteriormente hemos visto un ejemplo de redirección con pause, al escribir un comando >nul lo que hará es que le comando se ejecute pero no muestra nada en ningún sitio, ejemplo:
Código:
@echo off


echo hola>nul
dir>nul
tree>nul
pause>nul
Nada de lo que se ha escrito aquí se vera en la pantalla.

Se puede redirigir a otros sitios como la impresora (>prn) o a algún archivo (>nombre_del_archivo.extension). Pongo algún ejemplo:
Código:
@echo off
cls
echo HOLA>texto.txt
echo HOLA DE NUEVO>>texto.txt
dir>prn
pause>nul

Si te has fijado en el primer echo se redirige al archivo texto.txt (si no esta lo crea), si ese archivo tuviese algo escrito lo borraría todo para escribir "HOLA", pero bajo sale una redirección así ">>" esto hace que en vez de borrar el archivo siga escribiendo en la ultima línea.

Ahora pasemos a hablar de los filtros, los filtros sirven para cambiar la salida de un comando se usan mediante la barra horizontal " | " (para escribirla hay que presionar alt + 124). Pongo aquí dos filtros:

| sort ----> Sirve para ordenar la salida.
| more ----> Sirve para poder ver todos los datos que se imprimen en la pantalla mas despacio.

SET, ASIGNAR VARIABLES Y OPERACIONES

Ahora llegamos al comando Set, también uno de los más usados, sirve para asignar variables y hacer operaciones entre ellas. Cuando sepamos este comando ya podemos hacer una calculadora perfectamente.

Si queremos escribir algo en la pantalla y que lo almacene en una variable tenemos poner Set /p varible=, pongo un ejemplo:
Código:
@echo off
cls
echo Como te llamas??
set /p var=
echo Hola %var%!!
pause>nul
Y si queremos hacer operaciones entre variables ponemos set /a var= %var1%+%var2%, pongo un codigo:
Código:
@echo off
cls
echo Introdice el numero 1º
set /p n1=
echo Introduce el numero 2º
set /p n2=
set /a res=%n2%+%n1%
echo La suma de los dos es: %res%
pause>nul

Continuar leyendo

Evitando malos pasos

elMor3no [celiarios@infomed.sld.cu]

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. En este artículo ofreceré algunos consejos útiles contra el malware... de hoy. Para la confección de este articulo reuní información de varios artículos sobre seguridad informática y vulnerabilidades en la red de redes, por su importancia creo conveniente que al menos los que se preocupen por su seguridad, lean estas líneas [espero no interpreten esto como una propaganda al articulo ;)]

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar una cuenta de usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo jugamos, escuchamos música, leemos correo o navegamos, y en el caso de esta última actividad conlleva un importante riesgo, sea con el navegador que sea (y en el S. Operativo que sea). Hacer esto es simplemente una actitud irresponsable que nos “mordió por una pata” desde los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Al aparecer Win2 XP, tras su instalación Microsoft permite la creación de un usuario distinto al administrador para el uso del sistema, un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores (clásico de la Microsoft), y por tanto fuese tan poderoso como él.

Nadie (y absolutamente nadie) que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como "root" o súperusuario. En Windows ocurre totalmente lo contrario, lo extraño es precisamente trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar... puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina es decir con los privilegios de nuestro usuario.

Según estuve leyendo (puesto que no tengo referencia, ni conocimiento en particular al respecto), en Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Actualizar el sistema

No sólo el S. Operativo, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas "legales" o que sufrirá fallos de compatibilidad, pero un S. Operativo y en especial un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan. Creo que no es necesario hablar de la necesidad de actualización del antivirus, sin importar el que usemos, pues como dijo un sabio, “El mejor antivirus es el que esta actualizado”.

Mantenerse informado

Mantenerse informado sobre tendencias de seguridad, malware, virus y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce (tanto en la guerra como en la paz lo mas importante es estar informado). Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web....estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

Otros consejos

Estos consejos anteriores son los más importantes. Por desgracia no son los que se dan. Ni la tecnología, ni la red ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware...) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles. Para que se me entienda mejor...cuantos de los que leen estas paginas en estos momentos tienen su o sus antivirus actualizados (y no es paranoia, ni exageración el uso de mas de un antivirus, siempre que se sepa lo que se hace), tiene instalado un firewall (independientemente del de Win2), o cuantos como yo (increíble no) no estaban al corriente hasta después de leer un poco del riesgo que se corre al avegar o simplemente al trabajar como administrador del sistema.

Espero este articulo sirva de algo o a alguien.

Continuar leyendo

El crimen siempre paga

Mr. I/O [blackhat4all@gmail.com]

Este es un sencillo artículo que trata acerca de intrusión – Cracking – y técnicas – para nada complejas – de detección y detención, basadas en ;) Hacking, es un ejercicio de cómo hacer, pues ante un problema: una respuesta.


Es un artículo educativo, porque la educación es la profilaxis, las restricciones son la represión neta, el explicarte las causas y consecuencias es el convencimiento, y tú – quizás debes ser convencido – necesitas saber – para que conozcas – a los riesgos que te enfrentas.

¿A quien puede interesar este artículo?
• A los padres de los chicos despiertos – sus chicos buenos sin salir de la casa, o la escuela, se pueden meter en problemas.
• A los profesores – o jefes – dormidos con claves triviales, o la lengua suelta.
• A los propios chicos curiosos para que aprendan que puede pasar si se emplean recursos simples, imaginando entonces que sucede cuando se involucran otras armas.
• A los administradores no capacitados – o incapacitados – ustedes saben quienes son. Algún día terminará eso del puesto para el hombre, y será el hombre capaz el que llevará el puesto.
• A los técnicos de laboratorio que aun no comprenden que su misión es la más importante: mantener actualizados los registros de asistencia por parte de los usuarios a las máquinas bajo su control. Y que son el eslabón más importante en la cadena de la responsabilidad para con los bienes del estado.

A todos ellos recomiendo incluso suscribirse a esta revista educativa.

En el desarrollo de este artículo se incluyen referencias bibliográficas que permitirán aumentar el nivel de conocimientos respecto al tema tratado, por ello es el objetivo de este material demostrar que no se deben realizar acciones de violencia contra la integridad de la data, ya que ninguna alteración detectada permanecerá impune.

GÉNESIS

Un día – hace poco – me llama un amigo que me dijo hola, y después de las triviales conversaciones en las que la gente intercambia las cosas relativas a saludos, me confesó: – Tengo un problema de seguridad – ahí me reí, porque los problemas de seguridad en los institutos educacionales son comunes, los chicos tratan de violar las restricciones, tratan de obtener – y obtienen muchas veces – privilegios – y hacen cosas mal hechas – algunas son tan simples como navegar, otras en cambio simplemente por el hecho de poder hacer cosas que el dominio les restringe. Hay de todo en la aldea del señor.

Pero luego mi sonrisa varió y se trocó en mueca de disgusto. Resulta que no fue un hacker, fue un cracker el intruso, y no es lo mismo.

Confieso que una vez – en esta parte de intrusiones en Cuba no hay hacking, solo cracking vulgar o ingenioso – apliqué técnicas de ingeniería social para hacerme de unas claves que me permitió un día demostrarle a algunos amigos – entre ellos estaba este mismo admin – que nosotros no teníamos Internet porque éramos jóvenes respetuosos de las reglas, no porque no pudiéramos llegar al infinito y más allá. O sea hackers con ética.

Procederé entonces a explicar cómo apliqué – con lujos de detalles – eso que llaman ingeniería social – ojo término por el cual el autor entiende: un conjunto de técnicas psicológicas – sociológicas, que apoyándose en la ingenuidad y buena fé de la humanidad – por ello la considero no ética – permiten obtener información. Esta cuestión siempre esta vinculada a personas oscuras[1] – o con oscuras intensiones – la misma alcanza su momento cumbre cuando el “especialista” la aplica frente a frente, pues domina – intuitivamente o de forma ilustrada – alguna que otra arma como puede ser el llamado lenguaje corporal[2].

Antes de hacerlo se definirá en cada caso que se entiende por los términos de la jerga técnica empleada.
Para partir me refugio en la literatura y busco un viejo libro de seguridad[3] – como secreto les cuento que es todo un clásico y está reconocido como el mejor jamás escrito – y busco lo que el autor define como hackers y crackers para tratar de poner frontera a estas dos personalidades tan cercanas:

Hacker: este término hace referencia:
“to programmers and not to those who unlawfully breach the security of systems. A hacker is any person who investigates the integrity and security of an operating system. Most commonly, these individuals are programmers. They usually have advanced knowledge of both hardware and software and are capable of rigging (or hacking) systems in innovative ways. Often, hackers determine new ways to utilize or implement a network, ways that software manufacturers had not expressly intended.” [4]

El mismo autor hace referencia en otra parte del mismo libro que un hacker
“is a person intensely interested in the arcane and recondite workings of any computer operating system. Most often, hackers are programmers. As such, hackers obtain advanced knowledge of operating systems and programming languages. They may know of holes within systems and the reasons for such holes. Hackers constantly seek further knowledge, freely share what they have discovered, and never, ever intentionally damage data.” [5]

Por ello el intruso no era posible catalogarlo como un hacker.
Cracker: este término envuelve a:
“any individual who uses advanced knowledge of the Internet (or networks) to compromise network security. Historically, this activity involved cracking encrypted password files, but today, crackers employ a wide range of techniques. Hackers also sometimes test the security of networks, often with the identical tools and techniques used by crackers.” [6]

La diferencia radical en lo recogido en el siguiente párrafo:
“A cracker is a person who breaks into or otherwise violates the system integrity of remote machines, with malicious intent. Crackers, having gained unauthorized access, destroy vital data, deny legitimate users service, or basically cause problems for their targets. Crackers can easily be identified because their actions are malicious.” [7]

De ahí es comprensible que cuando mi amigo me comentó que algunos ficheros de word fueron alterados, y que desconocía si había perdido algo comprendí por que la molestia de mi amigo, y su determinación a que la violación del sistema era ocasionada por un cracker se debía a que simplemente había evidencia en la escena de data dañada. Un verdadero acto de sabotaje informático de bajo nivel cultural.

Trataré de – para que se entienda – reproducir entonces el ataque –el echo por mi – para que se comprenda de quien es la culpa de lo sucedido. Echemos un ojo a la escena del crimen, lo que ha quedado es una larga lista de ficheros – quizás algunos perdidos – corrompidos son un letrero en wordart que dice simplemente: “Te hackie”, una vulgar demostración de poder.

DESCRIPCIÓN DEL PROCEDIMIENTO

Pero ¿Cómo llegó hasta allí el intruso?
Estoy convencido que solo pudo ser a través de un par de técnicas elementales:
La primera: muchos crackers se hacen de login y password mirando por encima del hombro de quien escribe, es un método bastante vulgar, pero igual de efectivo.

La segunda: aplicar la ingeniería social para obtener el loggin y password.
Dos técnicas sencillas pero efectivas para aplicar por el depredador a una victima inocente.
Expongamos un ejemplo de cómo puede un cracker obtener loggin y password a través de la ingeniería social.
Obtener un loggin es bastante sencillo, a veces lo damos sin saber que lo hemos hecho, pues este coincide con el loggin del correo, para ello basta que el profesor haya enviado a los alumnos algo como una guía de ejercicios, alguna bibliografía, y bastará con revisar el correo, o pedirle al objetivo que nos haga el favor de enviarnos algo tan inocente como un lindo powerpoint.

Luego puede venir una conversación sobre lo difícil – por ejemplo – que resulta recordar las contraseñas, con ello el cracker – o el hacker – atrae la atención recomendando – mas bien explorando – lo que realmente no se debe hacer para recordar contraseñas, este ambiente de seguridad hace que los objetivos se sientan seguros, compartan sus temores de ser crackeados, y terminan confesando – sin decir exactamente cual es, por supuesto – que por ejemplo su clave es el nombre del hijo de su hija, de su mascota, su número de carné de identidad u algún otro. El siguiente paso es más propio de un detective privado, y consiste en hilvanar las pistas para poder llegar a la password con los datos obtenidos.

Este fue el método que utilicé en mi demostración de hacking a mis amigos, y luego una llamada a personal en un momento en que sabía que mi objetivo no se encontraba en el lugar, me permitió agenciarme del número de Carné de Identidad alegando algún trámite que ahora no recuerdo bien.

Hasta el momento ya podemos definir niveles de culpabilidad y responsabilidad. En el nivel más bajo esta el agresor, pues este solo es alguien que se aprovechó de un descuido.

En el siguiente esta el dueño de la clave, por escoger una clave insegura, y no mantener su boca serrada.
Y el máximo responsable fue el admin., por no brindar una buena educación a sus usuarios, enseñándoles las normativas de seguridad y ética, para que mantuvieran la boca serrada. Pero ese es mi punto de vista, que me dicta a mi juicio que el cracker no es el único que debe ser castigado, pues el usuario también peca de culpable. El root en este caso ya expió su culpa: fue crackeado, lo cual implica siempre vergüenza.

El siguiente paso es definir sospechosos, para ello basta con reconocer dentro de la comunidad de “chicos de talento”[8] quien está molesto y por qué, advierto que no se deben admirar, los motivos pueden ser variados y asombrosos. Con todo ello ya estamos listos para comenzar la caza, y pueden apostar que nuestro “amigo” ya esta atrapado en su propia ratonera.

EN BUSCA DE LAS TRAZAS [9]

Se coincide con un investigador más calificado quien opina que para la determinación de la identidad de un intruso se deben buscar las pistas que nos aporta la escena del crimen[10], y nuestra primera escena es el directorio que contiene los documentos Word alterados. Así como descubrir si existe algún otro daño.
Con una buena política de seguridad, una vez analizadas las pistas, ya nuestro intruso estría atrapado, porque en cada laboratorio toda máquina poseería su propia descripción, que la caracterizaría como unidad irrepetible.

Por lo que al chequear las propiedades de los documentos – en el menú archivo – podrá decir en:
- pestaña general: cuando fue modificado y cuando el último acceso
- pestaña estadística quien lo modificó

Tras lo cual se podría ir al laboratorio implicado y revisar cuidadosamente en los registros de la máquina, y con ello tendremos al intruso o a un nuevo culpable.

Pues si los registros de las máquinas no son llevados como deben ser el técnico iría a parar a la nómina de los culpables, recayendo sobre él la mayor parte del peso debido a que esto es prácticamente la totalidad de su contenido de trabajo

En el caso que se discute la solución no fue tan simple debido a las irregularidades detectadas en el trabajo de los técnicos y los fallos en la política de seguridad en la instalación de las workstations.
Nota: el error más importante obtenido es que todos los usuarios en las máquinas de los laboratorios poseían igual nombre y no se pudo determinar con facilidad la posición del ataque, aunque si se poseía ya la identidad del posible atacante.

Una ojeada más profunda con vista a identificar otros daños que nos permitan esclarecer el proceso son buscados en el directorio que contiene las páginas web publicadas, estas se recogen en un subdirectorio del wwwroot directorio (\inetpub\wwwroot).

Al observar estos ficheros como ya explicamos la primera pista útil que aparece es la relativa a fechas de creación y modificación – alteraciones en ficheros Hypertext Markup Language (HTML) originales – estas fechas – que no son de manera absoluta una prueba concisa – nos permite establecer comparaciones con las otras, instituyendo cuando fueron realizadas modificaciones autorizadas, pudiéndose definir un margen temporal en cuyo tiempo las modificaciones a elementos responden en un 100 % a un ataque.

Una vez fijado que existió ataque – aunque no se realizaron modificaciones a la página – la siguiente acción fue examinar el contenido de la carpeta _vti_cnf[11], que es la carpeta habilitada por FrontPage para guardar información de configuración[12]

Estos ficheros de configuración tienen los mismos nombres que los observados pero con la diferencia que estos guardan información de configuración como la ya discutida en los fichero Word, por lo que no se volverá a considerar su discusión.

Como se imaginan las fechas listadas en la configuración coinciden las algunas fechas de estos con las alteraciones registradas. Pero en este caso el nombre del autor coincidía con el de una cuenta en el directorio activo del servidor, y que no correspondía a alguien que estuviera asaltando servidores ni alterando páginas.

Por ello se reafirmó la sospecha de que alguien había robado[13] la cuenta a un usuario con grandes privilegios, que permitía acceder a los directorio del servidor – o ganar privilegios de acceso – y alterar – en este caso no se realizó literalmente[14] – la página web.

Este escrutinio se realizo para determinar la identidad del dueño legítimo de la cuenta, para continuar estas averiguaciones se examinaron varios ficheros creados por el IIS[15] entre otros programas de conectividad. Los primeros ficheros log revisados fueron los correspondientes al Hypertext Transfer Protocol (HTTP) y File Transfer Protocol

(FTP) logs que el IIS crea de manera automática.
La dirección[16] donde es posible encontrar estos ficheros está en su opción por defecto en \%windir%\System32\LogFiles\W3SVC1, su nombre por defecto es exLOGDATE.log, y este guarda una copia por cada día en el cual ocurre actividad.

Para entender el proceso explicaremos que el logs de HTTP contiene un GET cuando alguien solicita un fichero a través de la web, y responde con un POST cuando alguien coloca un fichero en el servido vía web. Una observación importante es que solo obtendremos el registro del POST en el HTTP logs solamente cuando los ficheros son colocados en el servidor utilizando un programa como por ejemplo Microsoft FrontPage o un similar.

El fichero log contiene la fecha de solicitud y los ficheros solicitados con la dirección correspondiente al protocolo de internet (IP) de quien hace la solicitud. Expliquemos ahora como funcionaron de ahí en adelante esas cuestiones en la práctica:

• Se estableció un marco de tiempo de un par de semanas para estudiar si existió asecho.
• El análisis de estos permitió detectar la presencia de un espía, pues GETs tomadas de la página alterada demostraban un comportamiento anormal para condiciones normales en el centro.
• Eran recurrente la observación de la página desde la misma dirección IP. Al punto de encontrarse varias “visitas” en un mismo día.
• La dirección IP correspondía al esquema privado de un laboratorio específico.
• Se continuó con el examen hasta encontrar el POST propio de la salva de cambios hechas a la página correspondiente a la dirección IP.
• Se realizó un examen de los log que crea IIS cuando alguien se conecta en un servidor vía FTP. El mismo se encuentra guardado en \%windir%\System32\LogFiles\MSFTPSVC1 is exLOGDATE.log.

o Este guarda un fichero por cada DIA que hay actividad FTP
o Los logs de FTP contienen la IP y el nombre del usuario que intentan conectarse al Server vía FTP, y la efectividad con que lo logran.
o Si se logró la conexión el log del FTP muestra los ficheros que el usuario copió o borró del Server.

• El examen de los log permite conocer las aplicaciones que son utilizadas comúnmente.
• Se utilizó una herramienta llamada VisualRoute 6.0b[17] para determinar la máquina de la cual se realizaron las intrusiones.

Como se esperaba VisualRoute buscó la dirección IP de la máquina en la LAN. El trazado reveló la identidad del intruso, ya que VisualRoute literalmente mostró el nombre de la computadora en el campo node name. Pues aunque sin control todos los técnicos señalaron a un estudiante como asiduo usuario de la máquina en cuestión.

RESPONSABILIDAD SOCIAL

La totalidad de las ideas discutidas en este documento pueden tener cierta repercusión negativa y positiva, por lo que meritan más que nada un análisis ético del hacking en las escuelas. Pues quienes manejen los términos relacionados por la vía de la ética podrán convertirse en expertos en hábiles expertos en seguridad.
Recomendándose la discusión en clases de seguridad casos/problemas – reales o posibles – teniendo en cuenta posibles vulnerabilidades de los sistemas estudiados, soluciones y captura de invasores. Fortificando las bases cognoscitivas de los estudiantes, en vías de formar como egresados profesionales con grandes conocimientos relativos a seguridad.

Con un buen trabajo educativo basado en valores formaríamos a profesionales más íntegros. Esto puede estar apoyado con la inclusión en los currículos de estudios de asignaturas básicas que incluyan la ética y legalidad.[18]

Las medidas tomadas con los implicados fueron medidas profilácticas, ya que todo este ejercicio contribuyo despertar a un admin. que se encontraba dormido, ninguno de los archivos comprendidos sufrió daños irreparables y todos los implicados – se puede considerar – solo no midieron el alcance de sus actos.

CONCLUSIONES

1. Uno de los elementos relacionado son el conocimiento teórico sobre la utilización de aplicaciones, entendiéndose que los estudiantes en general – y los crackers y hackers en particular – poseen dificultades para razonar como las distintas piezas que componen un sistema operativo trabajan encadenadas. Por lo que la explicación de estas mismas contribuirá a la formación de personas éticamente mejor formadas, eliminando los riegos de incursiones no autorizadas.

2. La discusión de la metodología utilizada en la identificación del invasor promueve un fuerte conocimiento sobre el tema a los estudiantes en lo relacionado a administración de sistemas, seguridad en servidores, manejo de redes, transferencias de datos.

3. La cuestión descrita en este material debe dejar claro que cualquier daño originado en la data de todo servidor devendrá en acciones en concreto que conllevaran a la captura del invasor, y la aplicación de las sanciones pertinentes.

BIBLIOGRAFÍA

1. Maximum Security: A Hacker’s Guide to Protecting Your Internet Site and Network.
2. Indianapolis: Sams Publishing, 1998.
3. Carpenter, Susan. “Where Hackers Teach the Art of Self-Defense.” <http://www.ttivanguard.com/bru_reconn/ ackademy.pdf>.
4. Matthews, Martin S., and Erik B. Poulsen. FrontPage 2000: The Complete Reference. Berkeley:Osborne, 1999.
5. Microsoft Baseline Security Analyzer. Microsoft Corporation. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/mbsahome.asp>.
6. Norfolk, David. “Understanding Ethical Hacking.” PC Network Advisor Mar. 2001. <http://www.itp-journals.com/nasample/M04133.pdf>.
7. Schneier, Bruce. Secrets and Lies: Digital Security in a Networked World. New York: John Wiley & Sons, 2000.
8. “Should Ethical Hacking be Taught as a Career Course?” Express IT People April 2002. <http://www.itpeopleindia.com/20020422/ cover1.shtml>.
9. Ufasoft Sniffer. Ufasoft Company.<http://www.ufasoft.com/sniffer>.
10. VisualRoute by Visualware. Visualware Incorporated. <http://www.visualware.com/visualroute/ index.html>.

Continuar leyendo

La BIOS elucidada (II)

Adrian Cepero [yimaras@yahoo.es]

Consagrado, capitalmente a Mr I/O. Venias y rendibúes de Adrian Cepero, por la agudeza advertida.

Si en dilapidad suerte,
vuestro amor me ha echado.
Sosegad vuestra sed,
en el llanto mió.

Adrian Cepero. C

Fatuo: Caso digno de pasmo, Dios y Patrono mió, que apalee vuestra eternal grandeza a mi ignara desidia., infausta treta a lego ignorante…….
Fatuo Comediante.

-Optimización de recursos en Windows XP uE

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="100"
"WaitToKillAppTimeout"="1000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="1000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\stisvc]
"Start"=dword:00000004
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"NoNetCrawling"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRemoteRecursiveEvents"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"DisablePagingExecutive"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
"IsShortCut"=-
[HKEY_CLASSES_ROOT\piffile]
"IsShortCut"=-
[HKEY_CLASSES_ROOT\InternetShortcut]
"IsShortCut"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Tour]
"RunCount"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Tour]
"RunCount"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000000
"{208D2C60-3AEA-1069-A2D7-08002B30309D}"=dword:00000000
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell]
"BagMRU Size"=dword:000000FA
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam]
"BagMRU Size"=dword:000000FA
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
;"ThumbnailSize"=dword:00000020
"ThumbnailQuality"=dword:0000001E
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"DisableThumbnailCache"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ListviewWatermark"=dword:00000000
"ListviewShadow"=dword:00000001
"ListviewAlphaSelect"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects]
"VisualFXSetting"=dword:00000003
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\AnimateMinMax]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\ComboBoxAnimation]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\CursorShadow]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\DragFullWindows]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\DropShadow]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\FontSmoothing]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\ListBoxSmoothScrolling]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\ListviewAlphaSelect]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\ListviewShadow]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\ListviewWatermark]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\MenuAnimation]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\SelectionFade]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\TaskbarAnimations]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\Themes]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\TooltipAnimation]
"DefaultValue"=dword:00000001
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects\WebView]
"DefaultApplied"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="[Windows XP Service Pack 3 Build 2]"
;Change the Internet Explorer Window Title
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Service Pack 3 Internet Explorer"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Connection Wizard]
"Completed"=hex:01,00,00,00
"DesktopChanged"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Error Dlg Displayed On Every Error"="no"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Enable Browser Extensions"="yes"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"Max Cached Icons"="8192"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"IRPStackSize"=dword:0000000f
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLowDiskSpaceChecks"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability]
"ShutdownReasonUI"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"IoPageLockLimit"=dword:00020000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
"NoAddRemovePrograms"=dword:00000001
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
"RegistrySizeLimit"=dword:ffffffff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EncryptionContextMenu"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableTaskOffload"=dword:00000000

-Depurar el redimiendo de la RED

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"MaxCmds"=dword:00000255
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"MaxThreads"=dword:00000255

-Depurar el redimiendo de Internet:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPerServer"=dword:00000004

POWER MANAGEMENT SETUP

NOTA: Varios conceptos esgrimidos en el subsecuente memorándum exhiben concepciones cardinales. Atentamente, ruego que me dispensen por las molestias acaecidas.

Ahorro de Energía

ACPI function : Disabled
Power Management : User Define
PM Control by APM : Yes
Video Off Method : V/HSYNC+ Blank
Video Off After : Standby
CPU Fan Off Option : Suspend- > Off
MODEM User IRQ : NA

Doze Mode : Disabled
Standby Mode : Disabled
Suspend Mode : Disabled
HDD Power Down : Disabled
Throttle Duty Cycle : 62, 5 %

PM Timer Events : User Define
Power Button Override : Disabled
Resume by LAN : Disabled
Power On by Ring : Disabled
Power On by Alarm : Disabled

IRQ [3-7-, 9-15], NMI : Enabled
VGA Active Monitor : Disabled
IQR 8 Break Suspend : Disabled
IDE Primary Master : Disabled
IDE Primary Slave : Disabled
IDE Secondary Master : Disabled
IDE Secondary Slave : Disabled
Floppy Disk : Disabled
Serial Port : Enabled
Parallel Port : Disabled
Mouse Break Suspend : Yes

Dilucidación de Ahorro de Energía

ACPI Function (Función ACPI): Consiente que un Sistema Operativo con soporte ACPI, usurpe franco control, de todas las funciones de Gestión de Energía y Plug & Play. Actualmente solo Windows 98 y Windows 2000 contraen esta relación. (Drivers y dispositivos de Hardware deben conllevar el manejo).
Nota: Factible a partir del CHIP i810 (Genérico)

POWER MANAGEMENT (ADMINISTRACIÓN DE ENERGÍA): Los módulos canjeables de expresa función son:

- Max Saving
- Mix Saving
- User Define
- Disable
Nota: Parámetros para la configuración de Mayúsculo o MInúsculO Ahorro de Energía.

PM Control by APM: Activada, dimitimos de una configuración manual de nuestro ordenador, asentando parámetros recreados por Microsoft u otros fabricantes. (Genérico)

Video Off Method:

-V/H SYNC+Blank: Aísla los barridos (Horizontales y Verticales) y escinde el buffer de video.
- Blank Screen: Dimite el muestreo de datos en pantalla.
- DPMS (Display Power Management Signaling): Estándar VESA, que envía apremiante orden de apagado al sistema grafico.

Video Off After (Opciones de Apagado):

-Suspend: Apagase el monitor en modo suspensión
-Standby: Apagase el monitor en modo suspensión o espera.
-Doze: La señal de video dimitirá en todos los modos de energía.

CPU Fan Off Option: Consiente apagar el ventilador del procesador al entrar en modo suspensión. (Genérico)

MODEM User IRQ: Admite declarar la interrupción estilada en del modem. (Genérico)

Doze Mode: Declara intervalo de tiempo a transcurrir desde que el ordenador deje de recibir eventos hasta que se apague. Deshabilitando esta opción remontase instintivamente al subsiguiente apartado. (Standby Mode) (Genérico)

Standby Mode: Declara intervalo de tiempo a transcurrir desde que el ordenador deje de recibir tareas hasta que entre en modo de ahorro. Deshabilitando esta opción remontase instintivamente al subsiguiente apartado. (Suspend Mode) (Genérico)

Suspend Mode: Declara intervalo de tiempo a transcurrir hasta que el ordenador entre en modo suspensión. (Genérico)
Nota: Deshabilitando esta opción, el sistema ignora la entrada.

HDD Power Down: Especifica intervalo de tiempo a discurrir hasta que el disco rígido entre en modo Ahorro de Energía. (Genérico)
Nota: 10-15 Minutos de estadio.

Throttle Duty Cycle: Señalase el porcentaje de trabajo exhibido por el procesador una vez adherido al modo Ahorro de Energía. (Tomase como referencia la velocidad ordinal)

PM Timer Events: Dentro de esta categoría englobase todo evento consignado al contador de tiempo al afiliarse en desiguales modos de Ahorro de Energía. (Genérico)

-Power Button Override: Admite que, tras forzar el botón de encendido durante más de 4 segundos, el sistema pase a desconexión por software. (Genérico)

-Resume by LAN: Consiente que el sistema germinal inicie por una tarjeta de RED.
Nota: Han de cumplirse la especificaciones WAKE ON LAN. (Genérico)

-Power On by Ring: Ponese en marcha el ordenador tras acogerse a una llamada.
Nota: Concretamente en módem puerto serie. (Genérico)

-Power On by Alarm: Consiente estipular fecha y hora de apertura del ordenador. (Genérico)

IRQ [3-7-, 9-15], NMI: Parámetro que hace referencia a cualquier evento acaecido en las disímiles interrupciones del sistema. (Genérico)

VGA Active Monitor: Coteja si en pantalla se acometen operaciones de entrada/salida, de acaecer, reinicia el contador de tiempo. (Genérico)

IQR 8 Break Suspend: Consiente que el ordenador, mediante la interrupción 8, avive el sistema en modo Ahorro de energía. (Genérico)

IDE Primary Master u Slave / IDE Secondary Master u Slave: Coteja si en el disco rígido se acometen operaciones de entrada/salida (Accesos), de acaecer, reinicia el contador de tiempo. (Genérico)

Floppy Disk: Fiscaliza las operaciones acaecidas en la disquetera.

Serial Port: Fiscaliza las operaciones acaecidas en el puerto serie.

Parallel Port: Fiscaliza las operaciones de trasmisión de datos acaecidas en el puerto paralelo.

Mouse Break Suspend: Consiente que con el movimiento del mouse despierte el Sistema Operativo y traslade se de modo Ahorro de Energía a modo Actividad Normal. (Genérico)

NOTA: Mudando estos valores en el registro de Windows, ahorrase energía

-Google Negro:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\G]
@="http://www.google.com/custom?hl=es&cof=CX%3AJoniJnm.es%3BLBGC%3AFFFF00%3BBGC%3A%23000000%3BT%3A%23ffffff%3BLC%3A%2380ff00%3BVLC%3A%23ffffff%3BALC%3A%23ffffff%3BGALT%3A%233399FF%3BDIV%3A%23666666%3B&btnG=Buscar&cx=005259712913702778262%3Ah0v4n2t74pm&q=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.jonijnm.es/google/google-negro.htm"

-Acrecentar la productividad del micro Intel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\P3\Parameters]
"HackFlags"=dword:00000001


Continuar leyendo