hacker


Ingresar con nombre de usuario, contraseña y duración de la sesión
| Portal Hacker | Editorial | Descargas | Ezine |
Inicio Ayuda Ingresar Registrarse
19 de Noviembre de 2008, 03:13:04
Noticias: Participa en el batch lab de CPH
Para ver este enlace Registrate o Inicia Sesion
aqui

+  Foros pOrtal Hacker
|-+  Hacktivismo
| |-+  Seguridad (Moderador: wanm28)
| | |-+  Visualización Manual de Malwares		 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Visualización Manual de Malwares  (Leído 443 veces)
CHR0N05
Colaborador
****
Desconectado Desconectado

Mensajes: 1,662


Chronos es Dios de Dioses!!...


Ver Perfil WWW
« : 23 de Junio de 2008, 01:05:10 »
Visualización Manual de
Malwares

Autor: CHR0N05
Web participante:
Para ver este enlace Registrate o Inicia Sesion
www.hackerxsie mpre.com.ar



Bueno, en este pequeño articulo, me animé a mostrar a todos aquellos que están comenzando en este mundo a encontrar algún tipo de Malwares…

Algo sencillo y muy potente cuando tenemos que chequear cuando nuestra amada computadora se encuentra en peligro, como es el caso de Virus, Trojan, Worms.. etc...

Lo primero que haremos será irnos al Registro…

NOTA: Registro == Base de datos jerárquica, que contiene los datos del equipo, ya sea Hardware, Software y Usuarios.

Deberemos de chequear todos estas rutas:
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
  • HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs
  • HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Si se fijan, os pueden dar cuenta que en la gran mayoría de las rutas a chequear tienen el nombre de “Run”xxx, o en alguna de sus sub-rutas… Seguramente os preguntarán por qué Huh, la respuesta es simple, los Malwares en general, buscan en algún momento activarse (Background), generalmente son en las rutas que comienzan algún Servicio… También suelen fijarse en carpetas estratégicas, que debemos chequear… cómo es el caso de:

  • C:\Documents and Settings\%username%\Menú Inicio\Programas\Inicio
  • C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
  • C:\RECYCLER\
  • C:\%Systemroot%\system32
  • C:\ System Volume Information

NOTA: Para chequear algún tipo de carpeta es recomendable mantener en vista los archivos ocultos (súper ocultos) y del sistema.

Además de todo esto, debemos saber que Los Trojan o Backdoors trabajan bajo un modo silencioso, quiere decir que se esconden en otros programas para ser indectetables, o en otro modo inician junto con el sistema.

Para detectar todo ello podremos jugar un poco con los dedos... Grin

Código:
wmic /output:C:\services.htm service get /format:hform

WMIc = facilitar administración de tareas automáticas y de script.

Un ejemplo de esta línea de comando:

COMSysApp.
Nombre de propiedad Valor
AcceptPause FALSE.
AcceptStop FALSE.
Caption Aplicación del sistema COM+.
CheckPoint 0
CreationClassN ame Win32_Service.
Description Administra la configuración y el seguimiento de los componentes del Modelo de objetos componentes (COM+). Si se detiene el servicio, la mayoría de los componentes COM+ no funcionarán correctamente. Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa específicamente de él..
DesktopInterac t FALSE.
DisplayName Aplicación del sistema COM+.
ErrorControl Normal.
ExitCode 1077
InstallDate .
Name COMSysApp.
PathName C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}.
ProcessId 0
ServiceSpecifi cExitCode 0
ServiceType Own Process.
Started FALSE.
StartMode Manual.
StartName LocalSystem.
State Stopped.
Status OK.
SystemCreation ClassName Win32_Computer System.
SystemName CHR0N05.
TagId 0
WaitHint 0

NOTA: Deseas saber, cual de tus ProcessID está correcto Huh,
Para ver este enlace Registrate o Inicia Sesion
Aquí hay una lista


Además tenemos que visualizar win.ini, Autoexec.nt, config.sys, system.ini y Autoexec.bat.

Para ello utilizaremos la herramienta de Windows MSCONFIG ó en su defecto
Para ver este enlace Registrate o Inicia Sesion
Sysinsternals



Espero sea de su agrado, lo hice con poquisimo tiempo... si hace falta algo... avisar, y se modificia...

Saludos...
En línea
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Citar
public class firma{
     public static void main(String[] args)    {
           hackerxsiempre .net HxS= new hackerxsiempre();

            cph.friends.Wa esWaes waesx2 = new cph.friends.Wa esWaes();

            System.out.pri ntln(""+ HxS.
Para ver este enlace Registrate o Inicia Sesion
foro()
);

             System.out.pri ntln(""+ HxS.
Para ver este enlace Registrate o Inicia Sesion
Convocatoria_E Zine()
);

            System.out.pri ntln (waesx2.firma("Java lover"));
}}
proton6
Colaborador
****
Conectado Conectado

Mensajes: 2,790


--__--


Ver Perfil WWW
« Respuesta #1 : 26 de Junio de 2008, 02:39:56 »
Esta bueno, me sirvio para aprneder unas cosas mas  Wink
En línea

Para ver este enlace Registrate o Inicia Sesion
¡NOTICIA! Adelanto nueva peli Star Wars


Para ver este enlace Registrate o Inicia Sesion
Demonios azules" style="border:0


Para ver este enlace Registrate o Inicia Sesion
TUTORIALES DE CAMUFLAJE DE CARPETAS

Kiss Kiss
Para ver este enlace Registrate o Inicia Sesion
Mi blog
 Kiss Kiss
Dancrack
NZ2
**
Desconectado Desconectado

Mensajes: 220


www.zona-0.com


Ver Perfil WWW
« Respuesta #2 : 21 de Julio de 2008, 09:58:36 »
en esta entrada

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

k checo ? me aparece userinit.exe  Shocked
En línea
si kieres mejorar tus conocimientos entra a
Para ver este enlace Registrate o Inicia Sesion no te arrepentiras Tongue

Para ver este enlace Registrate o Inicia Sesion

Para ver este enlace Registrate o Inicia Sesion


Para ver este enlace Registrate o Inicia Sesion
huron74
NZ3
***
Desconectado Desconectado

Mensajes: 882


nunca habia logrado algo sin entusiamo


Ver Perfil
« Respuesta #3 : 21 de Julio de 2008, 12:38:47 »

Ahi lo llevas CHR0N05 siempre sorprendiendon os  Wink
En línea

Para ver este enlace Registrate o Inicia Sesion
CHR0N05
Colaborador
****
Desconectado Desconectado

Mensajes: 1,662


Chronos es Dios de Dioses!!...


Ver Perfil WWW
« Respuesta #4 : 21 de Julio de 2008, 07:04:05 »
Cita de: Dancrack en 21 de Julio de 2008, 09:58:36
en esta entrada

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

k checo ? me aparece userinit.exe  Shocked


Ese proceso es el encargado de inciar el modo visual de windows... explorer.exe.. .

ahora si notas que el proceso está abierto por un periodo superior a cinco minutos, es porque hay problemas...

Saludos
En línea
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Citar
public class firma{
     public static void main(String[] args)    {
           hackerxsiempre .net HxS= new hackerxsiempre();

            cph.friends.Wa esWaes waesx2 = new cph.friends.Wa esWaes();

            System.out.pri ntln(""+ HxS.
Para ver este enlace Registrate o Inicia Sesion
foro()
);

             System.out.pri ntln(""+ HxS.
Para ver este enlace Registrate o Inicia Sesion
Convocatoria_E Zine()
);

            System.out.pri ntln (waesx2.firma("Java lover"));
}}
Dancrack
NZ2
**
Desconectado Desconectado

Mensajes: 220


www.zona-0.com


Ver Perfil WWW
« Respuesta #5 : 21 de Julio de 2008, 07:34:49 »
ok excelente  Wink
En línea
si kieres mejorar tus conocimientos entra a
Para ver este enlace Registrate o Inicia Sesion no te arrepentiras Tongue

Para ver este enlace Registrate o Inicia Sesion

Para ver este enlace Registrate o Inicia Sesion


Para ver este enlace Registrate o Inicia Sesion
c00rd3L
Recien llegado
*
Desconectado Desconectado

Mensajes: 10



Ver Perfil
« Respuesta #6 : 31 de Julio de 2008, 12:11:06 »
la lista de procesos me saco de unas dudas....thx man,...
En línea
Solo con 0 y 1 se puede conseguir lo que otros ni se imaginan
WaesWaes
Moderador Global
*****
Desconectado Desconectado

Mensajes: 1,797


Consumiras poder hasta que él te consuma


Ver Perfil WWW
« Respuesta #7 : 01 de Agosto de 2008, 09:32:03 »
No tiene nada que ver con los malwares pero podrias agregar que se chequeen los hosts para no ser victimas de pharming

igualmente el manual esta sencillo y muy bien, felicitaciones .

saludos
En línea

Para ver este enlace Registrate o Inicia Sesion

Java Lover
Estudiando
Para ver este enlace Registrate o Inicia Sesion
Sistemas Operativos

OpenSolaris 2008.05 + Ubuntu 8.04 + Windows XP Pro SP3
Illdan
wanm28
Moderador
*****
Desconectado Desconectado

Mensajes: 2,235


PUXA ASTURIEs


Ver Perfil
« Respuesta #8 : 02 de Agosto de 2008, 10:23:57 »
Cita de: WaesWaes en 01 de Agosto de 2008, 09:32:03
No tiene nada que ver con los malwares pero podrias agregar que se chequeen los hosts para no ser victimas de pharming

igualmente el manual esta sencillo y muy bien, felicitaciones .

saludos


 
muchisimas direcciones usadas por  spyware  para descargarte scripts  van a  el archivo host en este archivo se encuentran las ip de las webs que visitamos, pero un spyware la mayoria de las veces se aprovechan de host para impedir que el user entre a x paginas determinadas ,tambien ai spyware que modifican el archivo host para impedir que se pueda cambiar la pagina de inicio o las busquedas en el buscador sean deficientes o inesistentes esto lo hacen como es logico  blokeando los posibles cambios en el registro......


 por eso el archivo host si es conveeniente chekarlo  y si tiene una relacion con el spyware bastante grande

 
 yo como siempre recomendaria el spywareblaster para estos casos , tambien ai programas que modifican el host a su estado original dejando solo los sitios de confianza o otros que redirecionan a otra ip los spyware 


 saludos colegas
« Última modificación: 02 de Agosto de 2008, 10:25:22 por wanm28 » En línea
Mi lavavajillas:

Consumo de agua programa: 9l/100Km
Puerta en acero inoxidable
Automático e intensivo
Siete funciones especiales
Capacidad: 12 servicios y el comedero de Canelo

Home´s W.C. Registered User: 3

 NO RESPONDO DUDAS POR MP
Páginas: [1] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Powered by SMF 1.1.6 | SMF © 2006-2008, Simple Machines LLC hacker

Juegos gratis - Articulos PHP - Juegos - Trucos - Letras - Juegos - Juegos Online