Bueno, este tema no lo habia visto por aqui, (va creo) y es realmente muy interesante y poco conocido...
Aclaracion: Conoci al fsutil por huesojuan un viejo batchcoder
Creeeeo que todas las maquinas con xp lo tienen (de no ser asi me decepcionaria mucho
), no estoy seguro pero en todas las q me he sentado ahi estaba el fsutil...si no lo tienen diganme y lo subo a rapidshare
Se los presento fsutil, (FileSUTILities)
fsutil /?
Ejecuten lo anterior para verificar que efectivamente tienen el comando, de lo contrario avisen y lo subo a rapidshare.
Bueno, pasemos a lo que nos compete:
Ejecutan una cmd y sigan el siguiente algoritmo
mkdir tito
pushd tito
dir
Primer analisis: Como vemos, no ha pasado nada llamativo, pero les recomiendo que chekeen que no solo no hay archivos sino que la cantidad de bytes en el directorio, obviamente, es 0 bytes (0 archivos 0 bytes, lo dice en la anteultima linea), si no les gusta tanto trabajar con la cmd, cosa que me extraña pq estamos en batch, hagan un start %homepath%\tito y veran que no hay nada.
Sigamos:
fsutil file createnew fhaker.txt 7170
dir
Segundo analisis: Veamos ahora que si existe un archivo y pesa, especificamente 7170 bytes :O, es decir hemos creado un archivo con el tamaño que queriamos.
Piensen en las posibilidades, analicemos la mas obvia:
- Llenar un disco con un virus sencillo: fsutil file createnew fhaker.txt 999999999999999999 (o whatever)
muuuy bueno, pero esta posibilidad tiene una debilidad, y esa debilidad de la posibilidad esta asociada a una debilidad del comando en si. Supongamos que hemos creado un vius que averigua cuanto espacio queda libre en el disco y crea un archivo de justo ese tamaño, no seria muy dificil para la victima detectar donde esta el problema, un user con conocimientos basicos sabiendo que su problema es que de un dia para otro se le lleno el disco, pone inicio, buscar, todos los archivos o carpetas, "*.*", espera 30 min como mucho, y despues filtra los resultados por tamaño, y vuala, seguramente el archivo estara entre los primeros (mas si la victima tenia mucho espacio libre en el disco), luego lo selecciona en la lista y pone suprimir y listo se acabo el problema.
una solucion que seguro alguno se debe estar planteando es que, bueno para que no aparesca entre los primeros dividamos el archivo en varias partes, parece una solucion muy buena, pero si nos ponemos a pensar es buena solo si la victima tiene poco espacio en el disco, supongamos q a la victima le quedaban 4 gigas de espacio, si dividimos el trabajo en 8 archivos ya seria inotable practicamente, pero ahora cuanto mas espacio tenga libre la victima (y supongamos como regla general que hoy todo el mundo cuenta con abundante capacidad de almacenamiento), mas divisiones habra que hacer, y cada ves tenderiamos mas a volver a la vieja y obsoleta tecnica de crear muchos archivos con un cierto peso hasta llenar el disco.
asi que vemos que la solucion de ocultar el archivo de esta manera es poco eficiente y tiende a volverse un algoritmo ya conocido por todos (que es obsoleto en comparacion al potencial de este comando), que tal si la solucion al problema no es ocultar el archivo, despues de todo, lo malo de que encuentre el archivo es que lo eliminaria, y si no pudiera eliminarlo???, como lograriamos eso???, seria una gran solucion, mas de uno debe estar pensando que es posible sobreescribir un archivo con fsutil, y lo unico que tendramos que hacer es buscar un archvio vital del sistema y meterle mas peso, si lo borra chau windows y por ahorrarse unos cuantos bytes perdio todo.
he aqui la debilidad del comando que hable mas arriva, no puede sobreecribir archivos ya creados, pero yo he estado experimentando con esta funcionalidad del comando (un poco) y he creado una forma de sobreescribir archivos, lo cual finalmente solucionaria el problema
lo que voy a describir ahora hace referencia a "los otros efectos", y tiene mas utilidades que la de sobreescribir:
espero que no hayan cerrado la cmd de antes pq seguimos en %homepath%\tito
copy %systemroot%\system32\cmd.exe %homepath%\tito\cmd1.exe
start cmd1.exe
dir
vemos que la cmd1.exe esta en tito y ademas pesa (segun la mia no se la de ustedes) 404 992 bytes
ademas vemos que la cmd1.exe funciona correctamente
seguimos:
fsutil file createnew fhaker.exe 1000000
type cmd1.exe >cmd2.exe
type fhaker.exe >>cmd2.exe
start cmd2.exe
dir
pongan mucha atencion en los ">>" del segundo type poruqesino no funciona.
ahora vemos que cmd2 pesa muchisimo mas (la suma de los pesos de los dos) y que sigue funcionando perfectamente, en conclusion hemos aumentado su tamaño sin modificar su funcionamiento normal....
bueno problema solucionado, a codear virus
un efecto secundario que se podria tratar con esto de "sobreecribir" archivos es que podrian aumentar el peso de sus virus, por ejemplo un par de megas, para q pase mas desapercibido, naturalemente hoy todo el mundo sospecha de un exe de 10kb, la gente sospecha mucho menos de un exe de 2 megas, por ejemplo
sigan investigando al fstuil que esta bueno
saludos
Autor