Nickname
A Chatear seguro hay alguien conectado
-[
0x10 ]--------------------------------------------------------------------
-[
INSIDE WINDOWS 95 ]-------------------------------------------------------
-[
by Maikel]---------------------------------------------------------SET-20-
--------------------------------------------------------------------------------
J U G A N D O C O N W I N D O W S ' 9 5 B Y M A I K E L 1 9 9 9
--------------------------------------------------------------------------------
v 3
INDICE:
PARTE 1
Editando el Explorer.exe del Windows'95 (y 98, creo...Falken me confirma
que tambien funciona en windows NT), y de paso introduccion al mundo de
los editores en hexadecimal.
PARTE 2
Cambiando los graficos de inicio de windows 95...
PARTE 3
Echando un vistazo al archivo c:\msdos.sys
PARTE 4
Jugando con el registro de windows 95 98 y NT
PARTE 5
Los programas que se ejecutan al arrancar en w95. (ej. troyanos)
CONCLUSION:
ANEXO 1:
Sobre los atributos de los archivos en ms-dos y windows
ANEXO 2:
Curiosidades de los navegadores. FTP: HTTP: ABOUT:
ANEXO 3:
Parte legal
(by Falken)
P
A R T E 1:
--------------------------------------------------------------------------------
Editando el Explorer.exe del Windows'95 (y 98, creo... Falken me confirma
que
tambien funciona en windows NT), y de paso introduccion al mundo de los editores
en hexadecimal.
--------------------------------------------------------------------------------
Como nunca tengo nada que hacer, en vez de estudiar para el examen de
eletronica que tengo dentro de 4 dias (nota: al final lo suspendi :( si es
que..)
digo voy a escribir un articulillo con un poco de teoria sobre editores
hexadecimales , utilizando un ejemplo en el cual cambiaras el nombre "Inicio"
de
Windows 95 por otro que tu quieras. ¿que para que?...pues yo que se,
para
aprender.
¿que por que?
Para no tener que explicar como hacer este truco varias veces a mis amiguetes.
Y si de paso le puede servir a alguien mas, pues eso que ganamos ¿no?.No
se como
acabara este texto, ni si sera corto o largo. Si lo estas leyendo es porque
al
final lo hice. Lo pondre lo mas facil que pueda ya que en principio va dirigido
a gente muy, muy, novata, y asi de paso que aprendan para que ellos solos
hagan
sus "pinitos".
Necesitaremos
un editor hexadecimal. ¿que es eso?
Un editor como el edit de ms-dos o el notepad de windows 95, pero que muestra
todos los bytes de los archivos byte a byte en forma hexadecimal (de ahi su
nombre) ademas de en formato ASCII. La verdad es que se podria utilizar
cualquier editor, pero es una lata porque hay editores que formatean el texto
donde no deben, y el hexadecimal en cambio, edita el archivo tal y como es,
y
te pone el numero en hexadecimal de todos los bytes, incluso los caracteres
que
no se ven en ASCII, ademas asi aprendeis a manejarlo.
Dejemonos
de teoria y a conseguir un editor.
Yo uso el Ultra Edit 32 para windows 95. Os podeis bajar la ultima version
en:
http://www.ultraedit.com
Este es un editor de ASCII que permite editar en hexadecimal y en modo texto.
Ahora
empezaremos a operar, prestad atencion...
-=00=-Operando-=000=-
1. Buscando el archivo clave:
Con el editor hexadecimal en mano abrimos el archivo explorer.exe que esta
en
el directorio c:\windows\explorer.exe
1.1
Una vez encontrado haz una copia de seguridad de el archivo. Una copia de
seguridad es simplemente copiar el archivo con otro nombre o extension. Para
que
si la cagamos copiemos la copia de seguridad sobre el archivo estropeado.
2.
¿que hemos encontrado?
explorer.exe a parte de ser el explorador de windows, una especie de Comandante
Norton, parece ser que es donde se esconde gran parte del texto del software
de windows.
Es decir lo de abrir, cerrar, Inicio, "El archvo no se ha encontrado"...
Advierto que si os equivocais os podeis cargar el windows. Yo solo explicare
como cambiar el nombre de el menu Inicio. Si tu quieres cambiar algo mas es
cosa
tuya. ( Yo tambien tengo cambiado lo de "apagar equipo" -> "txapar
ordenata"
y lo de "Ayuda" --> kit!!! ,queria poner kit te necesito, pero
petaba el
explorer, todo esto del menu Inicio).
3.
Editando...
Ya estamos dentro de ese archivo. Vemos mogollon de caracteres raros.
Los textos que buscamos estan por el final.
Modificando...
Si quieres cambiar el nombre Inicio por el que tu quieras debes de buscar
la palabra Inicio. Puedes leerte todo el archivo a ver si encuentras algo,
o puedes buscar en hexadecimal o en ASCII (hexadecimal recomendado). Seguro
que tu editor tiene la opcion buscar.
3.11
Cambiando el menu Inicio...
Busca Inicio.
Inicio: bueno en realidad no es Inicio esta de la siguiente forma:
En formato ASCII: I n i c i o (lo que hay entre las letras es el caracter
Nulo
(00h). ¿que significa 00h? Significa que es el valor 00 en hexadecimal.
Lo mejor que puedes hacer es buscarlo en hexadecimal :
------------------------------busca esto---------------------------------------
49 00 6e 00 69 00 63 00 69 00 6f : I n i c i o
I n i c i o
-------------------------------------------------------------------------------
Si te fijas "I" es 49 e "i" es 69. O sea que hay que diferenciar
entre
mayusculas y minusculas.
Yo no me se de memoria las letras en hexadecimal. Pero te vas al final del
archivo que hay mucho texto y miras que numero corresponde a cada letra. Luego
buscas lo que quieras , fijate que entre letra y letra hay siempre un byte
nulo, que es 00 en hexadecimal.
Pues
una vez encontrado hay que cambiarlo, te recomiendo que cambies las
letras inicio que son 5 por otra palabra de 5 caracteres.
I n i c i o -> M a i k e l
5 5
La version inglesa solo tiene 4 caracteres:
S t a r t -> M a i k e (l) No se si se le pueden poner mas de 4 o 5.
La verdad es que no lo he probado. Si no eres experto en hexadecimal
y no sabes lo que haces te recomiendo que lo hagas como lo hice yo. Letra
X
Letra.
4.
Otros textos.
Si quieres cambiar mas cosas ya sabes igual que hemos cambiado lo de Inicio.
Por cierto que hay varios "I n i c i o" cambialos todos.
[ Nota de Falken: La ultima aparicion de la cadena de texto dentro
del fichero es la que causa el efecto, y con esa basta. ]
5.
Guardando el archivo modificado. No se puede guardar directamente desde
windows 95, porque el archivo esta siendo ejecutado continuamente y esta
protegido contra escritura por el sistema operativo. Es por eso que tienes
que guardar el archivo con otro nombre. Guardalo en el direcotrio "windows"
por ejemplo con el nombre explorador.new .
Despues hay que reiniciar windows en modo MS-DOS y copiar el archivo que has
guardado sobre el original de la siguiente manera.
Reinicias en modo ms-dos
-----------------------------------------------------
Microsoft(R) Windows 95
(C)Copyright Microsoft Corp 1981-1995.
c:\>cd
windows(intro)
c:\windows\>copy explorador.new explorador.exe(intro)
El archivo ya existe...
¿desea sobreescribir el archivo? S/N
S(intro)
------------------------------------------------------
Ya esta reinicias y tachan el menu Inicio se llama Maikel!!!!.
[ Nota de Falken: No hace falta decir que si se trata de una version
en ingles, el fichero se llamara explorer.exe
Ademas, en NT el proceso es ligeramente diferente. Si no esta
accesible la particion NT desde MSDOS, la mejor solucion esta en
finalizar el proceso 'explorer.exe' desde el administrador de
tareas. Ahora ya es posible grabar el fichero, pues ya no esta
siendo usado por el sistema. Seguidamente lanzamos una nueva tarea,
que sera explorer.exe, y listos. No hace falta reiniciar. ]
Pues
esto es todo. Ahora ya puedes dejar volar tu imaginacion y hacer tus
pinitos con tu editor hexadecimal, recuerda copias de seguridad siempre.
Fin
[email protected]
mayo de 1999
P
A R T E II:
--------------------------------------------------------------------------------
Cambiando los graficos de inicio de windows 95...
Cuando
enciendes o apagas windows 95 aparecen unos grafiquillos.
Si quieres los puedes cambiar, ahora te explico como.
Este
es el grafico que pone "ahora puede apagar el equipo"
c:\windows\logos.sys
Este el de "apagando el equipo, por favor espere"
c:\windows\logow.sys
Y el de iniciando windows95 esta en
c:\logo.sys nota: despues explicare los problemas que este ultimo tiene.
Para
cambiar los dos primeros , tan solo utiliza el "paint" de windows
o
cualquier porgrama de edicion de graficos. Los abres, los editas y los
guardas con las mismas paletas y numero de colores, 256.
Si quieres cambiar de paleta o utilizar tus propios graficos, recuerda que
los archivos tienen que estar a 320 x 400 y 256 colores 8 BITS.
El tama~o es siempre de 129,078 bytes por si te sirve de algo.
Con
el archivo c:\logo.sys tienes los siguientes problemas:
1. Puede no estar.
-Puede estar oculto: (esto esta copiado de un manual de hack pa
principiantes.
"haz click en "ver", entonces haz click en "archivos por
tipo",
entonces comprueba el apartado de "mostrar ocultos/archivos de
sistema".
-Si aun asi no esta no esta, puede ser que estes utilizando el
doublespace o varios discos duros. Busca el archivo en todos los
directorios raices de tu ordenador. c:\ d:\ e:\ etc.
-Y si despues de todo no esta , entonces debes de crearlo. Es facil,
copia el logow.sys por ejemplo, en c:\logo.sys. Y despues lo modificas.
Esto pasa porque el windows95 comprueba que existe el archivo logo.sys
en c:\ , si no esta usa la copia que tiene dentro de io.sys. Pero
bueno el caso es que si lo creas, utilizara el logo.sys
2.
Antes de modficar el archivo c:\logo.sys quitale los atributos de
lectura solo, oculto, y sistema. esto se hace desde ms-dos de la siguiente
manera...
c:\>ATTRIB
-R -H -S C:\LOGO.SYS
Nota
final sobre el c:\logo.sys, este archivo viene con una animacioncilla
en la parte de abajo del grafiquillo, si, esos cuadrados azules que van cambiando
pero cuando lo editas con el paint, y modificas el archivo te cargas la
animacion, :( , yo no tengo ni idea de como ponerla otra vez , lo siento,
pero si se de la existencia de programas que lo hacen, busca en la red.
(Si lo encuentras me lo dices :9 )
[ Nota de Falken: Veamos como se hace esto en Windows NT.
Hay dos formas. La basica, que es crear nuestra propia imagen de
inicio y sustituir con ella el fichero winnt.bmp que se encuentra
en el directorio \winnt.
Pero la que prefiero es jugando con el registro. La configuracion
que se carga por defecto es la correspondiente al usuario por
defecto. Asi, tan solo hay que cambiar la imagen del escritorio de
este usuario. La llave correspondiente del registro es:
HKEY_USERS\.DEFAULT\Desktop\Wallpaper
Si curioseamos en HKEY_USERS\.DEFAULT\Desktop veremos un monton de
cosas que podremos retocar a nuestro gusto. ]
P
A R T E III:
--------------------------------------------------------------------------------
Echando un vistazo al archivo c:\msdos.sys
Primero
debemos editar el archivo, advierto que el archivo esta oculto
protegido, y de sistema, o sea que a quitarle atributos con el attrib.
c:\>ATTRIB -R -H -S C:\MSDOS.SYS
Ahora lo editamos y vemos las siguientes lineas:
--------------------------------------------------------------------------------
[Paths]
WinDir=C:\WINDOWS
WinBootDir=C:\WINDOWS
HostWinBootDrv=C
Esto
lo dejamos porque no nos sirve de nada, y no queremos estropear windows.
Ademas esta claro lo que hace.
--------------------------------------------------------------------------------
[Options]
BootMulti=1
BootGUI=1
Network=1
La
linea BootGUI , quiere decir iniciar con el GUI, que es el "Graphic User
Interface" , o sea con las ventanitas del windows. Si el valor esta =1
,
iniciara en modo windows, si el valor es =0, iniciara en modo MS-DOS. Cuando
inicias Windows en modo MS-DOS , windows pone a 0 este valor.
Fragmento
que encontre en un "manual de hacker" y que puede ser interesante.
"Para
desactivar las teclas de funcion durante el arranque, directamente
debajo de [Options] tienes que insertar el comando "BootKeys=0."O,
otra
manera de desactivar dichas teclas de arranque, es insertar el comando
BootDelay=0."
Creo
que esta claro, pones la linea BootKeys=0 y no funcinara ninguna tecla
cuando pone lo de...
Iniciando windows 95...
-------------------------------------------------------------------------------
DrvSpace=0
DblSpace=0
DoubleBuffer=1
Logo=1
DrvSpace
= 0 y DblSpace = 0 le dice a windows si estas usando double space o
drive space, esto no lo toques, si lo usaras estaria a valor 1.
No
se para que sirve el DoubleBuffer, pero lo tengo activado, supongo que sera
algun buffer de windows, dejemoslo como esta.
Logo = 1, esta linea indica a windows que al iniciar ponga el archivo logo.sys
del cual ya hemos hablado en este articulo. Si el valor = 1 lo se visualiza
si es = 0 , no lo lee, y asi puedes ver lo que va pasando en el autoexec.bat
y config.sys. Tambien puedes quitar el grafico de iniciando windows 95,
pulsando la tecla ESC cuando sale el grafico.
Bueno
esto es todo sobre este archivo. Ya veremos que se me ocurre para ampliar
este documento que ya empieza a ser util y largo.
Maikel mayo 1999
P
A R T E IV:
--------------------------------------------------------------------------------
Jugando con el registro de windows.
El
registro de windows es una pieza muy importante del corazon de windows 95.
En el se guarda casi toda la informacion sobre el sistema, sobre los usuarios
y
sobre el software instalado."Contiene informacion acerca de la manera
en que se
ejecuta su PC" Ayuda de Windows.
Para
acceder a el hay que utilizar la utilidad que viene con windows 95 ,"editor
de registro", que se encuentra en: c:\windows\regedit.exe
Operando:
Este tutorial sobre como modificar el editor de registro te va a ense~ar algun
truco, pero ademas pretende que tu descubras por tu cuenta "lo que quieras".
Te vamos a esene~ar a utilizar este programa de forma general.
1)
COPIA DE SEGURDAD DEL REGISTRO DEL SISTEMA:
Muy importante es hacer una copia del registro del sistema. Este se encuentra
en
los siguientes archivos:
-c:\windows\system.dat
(el archivo clave) Esta oculto, protegido contra
escritura , y de sistema o sea +h +r +s. Pero bueno a nosotros eso nos da
igual, simplemete que si esta +h no lo veras pero siempre esta ahi.
Para hacer una copia de seguridad...
copy c:\windows\system.dat c:\windows\system.bak
-c:\windows\user.dat
Haz lo mismo que con el archivo anterior.
-c:\windows\system.da0
(este es una copia de seguridad del propio windows), por
si se te olvido hacer copia de seguridad recuerda que windows tiene la suya
pro-
pia.
-c:\windows\user.da0
Igual que el anterior es una copia de seguridad de w95.
Para
recuperar las copias de seguridad haz:
attrib -h -r -s system.dat
copy system.da0 system.dat
attrib -h -r -s user.dat
copy user.da0 user.dat
Reinicie su equipo.
2)
Empecemos a editar.
Ejecutamos el archivo c:\windows\regedit.exe
Estos son los directorios mas importantes.
HKEY_CLASSES_ROOT
(tipos de archivos, extensiones...)
HKEY_CURRENT_USER (Informacion personal y otros)
HKEY_LOCAL_MACHINE (Informacion de hardware y software, la mas interesante)
3)
Cambiando el nombre del usuario registrado de windows. A veces cuando compras
un ordenador nuevo, tiene preinstalado windows95. El nombre del propietario
puede ser algo asi como USER1. Para ver a que nombre esta tu windows , pon
ayuda
en cualquier aplicacion de windows, y luego , acerca de windows 95.
Pues vamos a ver como lo cambiamos. Miramos el nombre de usuario actual, com
acabo de decir. User1 por ejemplo. Nos vamos al Regedit y en buscar ponemos
User1. Despues de unos segundos nos lleva a la siguiente direccion...
Mi
Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
!!!!ACABAS
DE DESCUBRIR UN SITIO MUY INTERESANTE!!!!
Puedes cambiar desde tu nombre, nombre de windows (ahora yo no tengo windows
95
tengo el Ventanucos 95), la version...¿que os parece?, y solo con buscar
el
nombre de usuario. Podria dedicar todo un articulo a esta seccion. Te recuerdo
que te puedes equivocar, asi que ten a mano tu copia de seguridad.
Y si abres esa misma ventana...mas cosas...
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\*.*
4)Borrando
programas fantasma de la opcion de windows desinstalar software. A
veces al desinstalar una aplicacion, o al borrarla windows no elimina el
nombre de la lista de aplicaciones instaladas. No pasa nada esa lista esta
en
el registro de windows. Busquemos por ejemplo... Distributed Computing Client.
Es el cliente de el proyecto Bovine :) . Supongamos que lo hemos borrado sin
usar esta opcion de desinstalar, ahora no podemos quitar este programa de
la
lista. Busquemos pues...
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\...
Este es el directorio de la lista de software instalado. Simplemente borra
la que
te estorbe.
[ Nota de Falken: Bueno, bueno. Si nos pusiesemos a hablar sobre el
registro en Windows, particularmente en NT, podriamos hacer un
libro entero. De hecho, existe un libro muy bueno de O'Reilly sobre
el registro en Windows 95 y otro sobre NT, que son muy buenos.
De todas formas, que sepais que con el registro de Windows podeis
hacer casi de todo. ]
P
A R T E V:
--------------------------------------------------------------------------------
Programas que se ejecutan al iniciar el ordenador en windows 95, 98 y NT
Esta seccion abordara el tema de el software que se ejecuta al iniciar
el ordenador. No siempre se ejecutan aplicaciones que queremos que se ejecuten,
por ejemplo troyanos, o sniffers. Voy a intentar explicaros las zonas basicas
que se deben tener controladas, para saber en todo momento que programas se
estan ejecutando en tu PC.
Una forma de saber lo que se esta ejecutando en tu pc es pulsar
Cntr + Alt + Supr. Entonces windows te mostrara los programas que
estan en ese momento funcionando.
Me ha salido a mi en este momento...
UltraEdit32 <----- El programa que utilizo para escribir el articulo.
Explorer <----- El explorer.exe , archivo del que ya hemos hablado.
Systray <----- Pues no se que es, supongo que algo interno de
windows, voy a darle "finalizar tarea" a ver que pasa.
Me ha dado un mensaje de error y me lo ha cerrado...
ahora esto funciona sin ese programa, ¿que diantres
sera? En la ayuda de windows no dice nada... olvide-
moslo, siempre ha estado aqui y no creo que sea un
troyano.¡¡¡Ya se lo que es!!! Es el enchufe que me
salia en la barra de tareas. Es para controlar la pila
del portatil...
[Daemon: Esquina inferior derecha, es la bandeja donde se instalan las
aplicaciones residentes. Control de sonido, bovine, pgp...
systray viene precisamente de System Tray]
[Falken: Exacto. De hecho hay programas para acceder a todas las tareas
desde un icono en el System tray, y un monton de pijadas mas. ]
Pero hay mas cosas instaladas en memoria, por ejemplo lo que hay en la
parte derecha de la barra "inicio" ("maikel").
Hay un relojillo...
Una especie de altavoz...que es lo de mi tarjeta de sonido...
Y un enchufe...que se supone que es para el estado de la bateria de los
portatiles, pero que a mi me sale y no consigo quitarlo...
(nota de utlima hora eso es el programa
c:\windows\system\SysTray.exe)
Tambien hay una cara de vaca...esto es el programa de RC-5 bovine...
Pues esto es todo lo que hay supuestamente cargado en memoria, pero
por supuesto hay mas cosas, que no se pueden ver tan facilmente. Normalmente
los troyanos y los sniffers se escapan a simple vista, aun asi hay algunos
sniffers que se ponen un nombre raro como el keylog2 que se oculta llamandose
WinMem. Si al apretar cntr + alt + sup te aparece winmem, chungo. Los programas
que se inician en ms-dos al arrancar suelen estar ocultos, es el caso de los
drivers para ms-dos del cd-rom, el raton para ms-dos que realmente estan
ocupando memoria. Los sniffers y cosas asi tambien se ocultan.
Lo que haremos sera buscar en las zonas clave donde los programas se
inician. Es decir que los localizaremos buscando sentencias de ejecucion.
NIVEL 1 de EJECUCION: La manera mas simple de ejecutar un programa
al iniciar es colocando un acceso directo en el menu de inicio, dentro
de la subcarpeta Inicio, que en la version inglesa se llama Startup. Esto
es importante porque hay programas que en vez de colocarse en inicio se
creen que es la version inglesa y te crean la carpeta startup para meterse
en ella. ¿Como mirar lo que hay en esa carpeta? . Le das al boton de...
Inicio -> programas -> inicio
En mi ordenador pone carpeta vacia,, pero tambien puedes encotrar...
Microsoft Fast Cache --> que era de el winword...
tunderbyte antivirus --> Hay antivirus que usan este sistema para
iniciarse al arrancar...
Tu tambien puedes ejecutar el programa que quieras, tan solo debes introducir
un link. para introducir o modificar tienes que hacer...,
Inicio -> Configuracion -> barra de tareas -> programas de el menu
inicio ->
-> opciones avanzadas.
Entonces se abrira el explorador y podras modificar todo el menu inicio.
Explora en -> programas y busca inicio.
Tambien puedes directamente utilizar el explorador de windows, y entrar en:
c:\windows\menu inicio\
Es lo mismo. Una vez dentro modifica a tu antojo. Lo ideal es que sepas
para que sirve cada programa que se ejecuta al iniciar.
NIVEL 2 DE EJECUCION: El registro de windows. En el registro de windows
tambien hay una seccion dedicada a los programas que se van a ejecutar al
iniciar windows 95. A este nivel se puede encontrar por ejemplo...
El cliente de DISTRIBUTED.NET para el proyecto bovine....
tu tontea, a lo mejor algun amiguete te lo ha metido,
y le estas procesando bloques para el...
EL troyano NetBUS tambien lo podemos encontrar aqui, si lo tuvieramos
con borrar la entrada de este ya no lo tendriamos al iniciar otra vez.
Como ya he explicado en otra parte de este paquete sobre windows,
abrimos el editor de registro regedit...Como no me acuerdo de donde
era exactamente , busco distributed.net...que se que se inica al arrancar...
espero...mi 486 es mas lento que el caballo de los indios en las pelis
de vaqueros...me encuetra cosas pero no es lo que busco... le doy a siguiente.
no me lo ha encontrado... buscare el directorio, pongo buscar...
C:\ARCHIV~1\DISTRI~1.NET\ espero...lo encontre!!!! Trabajo que os ahorro...
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aqui es donde esta la lista de programas que se ejecutan al iniciar en este
nivel. Os pongo la mia...
[predeterminado] valor no establecido <-esto no es nada...
bovwn32 C:\ARCHIV~1\DISTRI~1.NET\RC5DESG.EXE -guistart <- el programa bovine
SystemTray SysTray.Exe <- otra vez el programa de antes...¿que sera?
¡¡¡ya lo se!!! es para controlar la pila de el
portatil, como esto no es un portatil, fuera. Ya
sabia yo que algun dia sabria lo que es...
Tbav for Windows 95 C:\TBAVW95\TBLOAD32.Exe /AutoStart <- mi antivirus
no sabia
que tambien estubiera por aqui. Lo quitare que
me gasta procesador.
WinHacker 95 "" <- juer macho, ¿que hace esto por aqui?
Que programa mas plasta
ya os hable de el en la conclusion. Fuera que me molestas!!
Nbserver (o algo asi) <- si tuvieras esto por ejemplo seria el netbus,
lo borras.
Pues esto es todo aqui. espera...¿que es esto que veo por aqui?
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Parece ser que hay programas que los pones en RunOnce y se ejecutan una sola
vez,
supongo que sera para instalaciones y cosas asi. No te olvides de echar un
vistazo en RunServices que tambien puede haber algo sospechoso.
[ Nota de Falken: Simple:
- RunOnce -> Se ejecuta tan solo una vez y se autoelimina del
registro.
- Runservices -> Mientras que Run y RunOnce se ejecutan una vez
Se ha entrado a nivel de usuario, RunServices lanza la
aplicacion como servicio del sistema, durante la inicializacion
del mismo. Esta es una buena prueba para comprobar lo consume
recursos que llega a ser Windows. Probad a colocar hay
cualquier programa y comprobad el resultado.
- RunServicesOnce -> Pues a RunServices como RunOnce es a Run. ]
NIVEL3: Programas que se instalan en memoria cuando windows esta
leyendo los archivos autoexec.bat y config.sys
Los archivos autoexec.bat y config.sys eran los centros neuralgicos
de nuestros antiguos pc, cuando utilizabamos ms-dos. En ellos estaban la
informacion necesaria para cargar el raton, el cd, la tarjeta de sonido, el
ansy.sys, que tiempos aquellos. Windows 95 es compatible todavia con
ms-dos. Esos archivos son respetados por windows. Ademas los programas
que se carguen en esos archivos permaneceran en memoria, y no saldran por
ningun sitio. Es por eso que lo que debeis hacer es editarlos y comprobar
que todo lo que se ejecuta es conocido.
Yo os pongo algunas cosas que hay en mis dos archivos por si os puede ser
util, para no sospechar de cosas normales.
config.sys (todo estas lineas son normales si las tienes no las borres,
no copies esto en tu congif.sys porque yo estoy poniendo trozos)
[menu]
menuitem=win,Windows95
menuitem=Musica,Musica
menuitem=Emuladores,Emuladores
menuitem=XMS
menuitem=CD,Discos Compactos
[conmon]
device=C:\WINDOWS\setver.exe
[win]
[XMS]
DEVICE=C:\CDPRO\VIDE-CDD.SYS /D:MSCD001 /P:1F0,14 /P:170,15 /P:1E8,12 /P:168,10
DOS=UMB
DOS=HIGH,umb
FILES=40
DEVICE=C:\WINDOWS\himem.sys
[Musica]
device=C:\WINDOWS\setver.exe
DOS=UMB
DOS=HIGH,UMB
set loadhidata=C:\QEMM\LOADHI.RF
DEVICE=C:\QEMM\QEMM386.SYS RAM SH:N RF EMS
DEVICEHIGH=C:\WINDOWS\COMMAND\DRVSPACE.SYS /MOVE
DEVICE = C:\IOMEGA\ASPIatap.SYS Info Country=034
DEVICE = C:\IOMEGA\SCSICFG.EXE /L=034 /V
DEVICE = C:\IOMEGA\SCSIDRVR.SYS /L=E
DEVICE=C:\CDPRO\VIDE-CDD.SYS /D:MSCD001 /P:170,15
autoexec.bat
Path C:\WINDOWS;C:\WINDOWS\COMMAND;c:\utils\un;C:\QEMM;c:\utils\comp;...
Esto es el path no es nada malo.
lh=C:\amouse\amouse <- el raton para ms-dos
lh=c:\windows\alsinit.exe <- la tarjeta para ms-dos
C:\WINDOWS\COMMAND\MSCDEX /D:MSCD001 /V /L:D <- el cd-rom
Todo lo que viene ahora es para el teclado en espa~ol...
mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys
Si ves algo como c:\windows\system\sniffer.exe pues lo borras. Esto es
todo espero que te hayas deshecho de los troyanos. No se si habran mas
lugares sospechosos de poder ocultar programas autoarrancables.
C
O N C L U S I O N:
--------------------------------------------------------------------------------
Bueno espero que os haya servido de algo este peque~o paquete de trucos para
windows. Son muy basicos lo se, pero siempre hay gente que esta empezando
y
no los conoce. Ademas no he visto mucho sobre este tema en los e-zines que
he
leido. Mi principal intencion no era la de ense~aros el truko del almendruko
para tal aplicacion, sino ense~aros a descubrir por vosotros mismos/as.
Si ademas aprendeis a manejar un editor hexadecimal, y cuatro cosas mas pues
mejor. Para realizar este articulo he utilizado: ayuda de windows, ultraedit
32,
paint de windows, comandante norton, alguna paginilla de internet con info,
el segundo numero de GUIA DEL HACKING (mayormente) INOFENSIVO de Carolyn Meinel.
Tambien me he basado en el "winhacker 2.0", que es un programa que
hace muchas de las cosas que he comentado en este articulo, pero las hace
auto-
maticamente, no te dice como, pero bueno yo tomaba nota de "que"
se podia hacer
y despues intentaba saber el "como". Ademas los muy pajaros del
winhacker lo
venden, como si hacer lo que os he explicado fuera algo tan dificil como para
necesitar un programa. Ademas le ponen el nombre de "hacker", para
que ademas
te sientas un gran "hacker" por cambiar, sin tener ni idea de "como",
la
palabra "inicio" de windows por "paquito". Pero en fin
¿no hay gente que se ha
hecho rica vendiendo software que no vale para nada?.
Resumiendo,
no estudiar, comprender, no memorizar, entender.
Un
saludo Maikel 30 de mayo de 1999
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
A N E X O I S O B R E L O S A T R I B U T O S D E A R C H I V O S
E N MS-DOS Y E N WINDOWS '95 '98
--------------------------------------------------------------------------------
Explicacion adicional sobre que son los atributos. (especialmente dedicado
a
los usuarios que desde siempre han utilizado windows ). El sistema operativo
no
trata todos los archivos por igual, los hay normales, o sea que se pueden
escribir, leer, modificar etc, y un poco menos normales. Todos tienen sus
atributos , que se pueden asignar o quitar a casi voluntad con el attrib en
ms-dos , o haciendo click en el boton derecho, propiedades, atributos, en
w95
(a veces el S.O. se pone cabezon). Yo recomiendo desde ms-dos porque es mas
potente que los ventanucos de windows.
Pon c:\>attrib.exe y veras los atributos del direcotrio c:\>
a = (archive?), que indica?
r = Read only , son de solo lectura
h = Hide , son ocultos
s = System , de sistema , mejor no tocarlos.
Para quitar atributos hay que utlizar el attrib de la siguiente manera:
attrib archivo -lo que sea , por ej -r -h -s
Y para ponerle atributos...
attrib archivo -(lo que sea) , por ej +r +h +s
Muchas
veces cuando grabas de un cd al disco duro, lo programas empiezan a
fallar. Es muy probable que eso se deba a que todos los archivos de los cd-rom
estan puesto modo +R, o sea solo lectura, y cuando los copias , lo haces
con los modos incluidos. Es por esto que los programas no pueden modificar
su
configuracion, y cosa asi, y a veces ni funcionan. Cuando te pase esto, entra
en el directorio donde hayas guardado el programa desde ms-dos, y pon...
c:\juegos\pepe99\attrib -r *.*
Y ya esta casi seguro que funciona. Es le ha pasado a mucha gente con los
emuladores, y no pueden cambiar la configuracion de las teclas y cosas asi.
--------------------------------------------------------------------------------
A N E X O II C O S I L L A S D E L O S N A V E G A D O R E S
--------------------------------------------------------------------------------
(Todo esto ha sido probado en Netscape 3.0 y 4.0, no se si todo funcionara
en el
resto de navegadores de el mercado)
FTP:
Algunas personas no saben que se puede utilizar la lineas de comandos del
navegador para mas cosas ademas de para hacer http. Tambien se puede hace
ftp.
Cuando tu pones ftp://ftp.microsoft.com , lo que haces es conectarte al ftp
de
microsoft con el login: anonymous y el pass: [email protected]
Pero tambien te puedes conectar a un servidor con el password y login que
quieras de la siguiente forma:
ftp://superlogin:[email protected]:69
^ ^ ^ ^ ^
a b c d e
a: indicas que es una sesion de ftp
b: es el nombre de usuario o login
c: es el password
d: el servidor
e: el puerto al que te quieres conectar (si no indicas puerto se conecta al
que se usa por defecto, el 80 creo.)
[Daemon: Por defecto al 80 si se trata de web.
Que puerto es?: Recurrid a la memoria o bien 'grep ftp /etc/services'.]
Fijate que entre b y c hay dos puntos, que entre c y d una arroba , y entre
d y e otros dos puntos.
Que yo sepa solo se pueden bajar archivos y no se pueden subir, pero bueno
para eso consigue un programa de ftp. Que esto es un poco en plan chapuza
para emergencias.
HTTP:
Esto tambien es muy util para entrar en las paginas http que te piden password.
Por ejemplo yo tengo una cuenta en www.globalaudit.com, y cada vez que quiero
conectarme a la pagina de estadisticas debo introducir mi pass y mi login.
Pues en vez de hacer eso cada vez, pongo:
http://juanjo99:[email protected]/users/perico2/
Y luego lo a~ades en los bookmarks y es como una web mas. Cuidado con esto
porque todo el que mire en vuestros bookmarks conocera directamente vuestro
pass y login.
[ Nota de Falken: No es preciso indicar la clave. Al intentar acceder
a la pagina y ver que requiere autorizacion, sacara una ventanita
de esas tan monas para introducir la clave y que muestra asteriscos
en pantalla. Que potito. ]
ABOUT:
About es una cosa interna de los navegadores (por lo menos de los netscape)
y que hace cosas muy curiosas, no se si utiles.
Poner lo siguiente en la linea de URL del navegador:
about:mozilla -> una rayada de los programadores.
about:cache -> para ver lo que hay en la cache de disco. Tiene su utilidad.
about:license -> para que te salga la licencia del navegador.
about:plugins -> para saber los plugins que hay instalados.
about:logo -> te sale el logotipo de netscape
[ Nota de Falken: Tambien puedes probar con:
about:image-cache
about:memory-cache
about:global
Hay algunos mas que son enlaces a paginas dentro de Netscape que
guardan algunas sorpresas. En este articulo, aunque no lo
parezca, teneis material de sobra para averiguarlos por vosotros
mismos. Aqui va un adelanto:
about:jwz
about:jeff
about:mlm
(...)
Otras curiosidades son:
Ctrl+Alt+S -> Elimina la barra de estado.
Ctrl+Alt+T -> Informa sobre las conexiones activas. ]
Si te quieres rayar pon about: <h1> Hola <h1> y te das cuenta
de que sale
hola en tama~o html h1. Pues si tienes paciencia te puedes currar un link
que sea una pagina html. Por ejemplo...(todo seguido)
about:<HEAD><TITLE>Maikel link page</TITLE> <BODY bgcolor="#800000"
text="#FFFFFF"></head> <body><I> <CENTER><br><p><center><h1>
Super pagina
en forma de LINK </h1> <br> <h2> Maikel </h2> </center>
</i></body>.
Bueno esto es todo, hay mas servicios que desconozco, no se si se puede
acceder a cuentas mail por el navegador o cosas asi. Esto es todo amigos.
Maikel martes 8 de junio de 1999.
--------------------------------------------------------------------------------
A N E X O III - A P A R T A D O L E G A L
--------------------------------------------------------------------------------
Quizas
uno de los aspectos al que menos importancia solemos darle cuando
se
habla de modificacion de archivos es el aspecto legal.
Pues
bien, de lo que se ha comentado aqui tan solo hay un apartado que roza
lo
ilegal, y es por lo absurdo de algunas leyes.
Se
trata de la modificacion de un fichero ejecutable, aunque sea para uso
personal.
Resulta
que esta terminantemente prohibido modificar los contenidos de un
fichero
binario sin autorizacion expresa de su autor, por mucho que hayamos
pagado
la dichosita licencia.
Vamos,
como si fuera delito realizar una anotacion en los margenes de un libro
aunque
lo hayamos comprado, porque hay que garantizar integridad del copyright.
Y
es mas, leeros la licencia de Microsoft sobre la modificacion de los archivos
que
distribuyen con sus aplicaciones. Parecen sacadas de un cuento de terror.
En
definitiva, que modificar los binarios de un programa, a no ser que este
expresamente
permitido, esta implicitamente prohibido por ley.
Nada
mas queria dejar claro eso. Que nadie va a ir casa por casa mirando si
habeis
modificado el texto del menu inicio de vuestro Windows, e incluso si lo
vieran
no creo que emprendieran acciones legales. Seria ridiculo. Pero que
sepais
que hay un papel por ahi que dice que eso es delito.
Os
habia dicho ya lo que me encanta el proyecto GNU? ;-)
LOS
RECURSOS COMPARTIDOS
Muchas
personas tienen una red local de Windows y comparten recursos en ella, sin
molestarse en poner contraseñas a esos recursos.
Pues bien, existe una forma bastante sencilla por la cual es posible conectarse
a esos terminales a través de internet.
No se trata de un fallo del sistema operativo, si no de una negligencia de
los usuarios que se conectan a internet compartiendo recursos, ignorando que
sus datos pueden ser vistos y manipulados por otros.
Configuración
de nuestro propio W
Antes
de nada, si queremos entrar en otro Windows que comparta recursos tendremos
que tener bien configurado el nuestro. Esto es lo que debemos tener:
Debemos tener activadas las opciones "compartir ficheros e impresoras",
en MiPC->Panel de Control->Red. Si el botón está desactivado
pulsamos AÑADIR y añadimos el servicio "Compartir ficheros
e impresoras en redes Microsoft"
En la misma ventana de antes, debemos tener el "Primer inicio de sesión"
en "cliente para redes Microsoft"
Debemos tener también el "cliente para redes Microsoft",
aunque viene por defecto
En MiPC->Acceso telefónico a redes->Conexión a iNet que
usaremos->boton derecho->propiedades debe estar activada la casilla
"conectarse a la red"
Vamos
allá
Ahora
que ya tenemos configurado el sistema, los pasos a seguir son muy sencillos.
Obtener
el nombre de la máquina
Usamos
el comando NBTSTAT -A IP (la 'A' es mayúscula), por ejemplo:
C:\WINDOWS\>nbtstat
-A 195.76.225.174
NetBIOS
Remote Machine Name Table
Name
Type Status
---------------------------------------------
LAMERMACHINE <00> UNIQUE Registered
LAMERGROUP <00> GROUP Registered
LAMERMACHINE <03> UNIQUE Registered
LAMERMACHINE <20> UNIQUE Registered
LAMERGROUP <1E> GROUP Registered
MAC
Address = 44-45-53-54-00-00
El
nombre de la máquina es el primer 'UNIQUE' de tipo <00>, en este
caso 'LAMERMACHINE' :D
EDITAR EL LMHOSTS
Ahora
creamos/editamos el archivo LMHOSTS poniendo la dirección IP y el nombre
de la maquina. Siguiendo con el ejemplo:
C:\>
EDIT C:\WINDOWS\LMHOSTS
LAMERMACHINE
VER
QUE RECURSOS COMPARTE
Lo
sabemos con el comando NET VIEW, por ejemplo:
C:\WINDOWS>net
view \\lamermachine
Shared
resources at \\LAMERMACHINE
Sharename
Type Comment
-----------------------------------------
MISTXT Disk
Vemos
que comparte una carpeta llamada 'MisTxt'
PODEMOS
ENTRAR ¿COMO HACEMOS?
Ahora
podemos operar exactamente igual que si se tratase de un terminal en nuestra
propia red local de Windows 95; No es objeto de este DOC mostrar el manejo
de las redes locales de Windows, pero voy a apuntar alguna posibilidad:
Para
mostrar el contenido de la carpeta compartida, simplemente
DIR
\\LAMERMACHINE\MISTXT
Para
leer un fichero de esa carpeta, obviamente:
TYPE
\\LAMERMACHINE\MISTXT\CARTANOVIA.TXT
Y
así sucesivamente con cualquier comando. También podemos conectar
ese recursos compartido a unidad de red, y ver el ordenador remoto en Windows
de forma gráfica como si se tratase de nuestro propio disco duro.
En este sentido , también podemos pulsar INICIO > BUSCAR PC para
ver el contenido del PC remoto y manejarlo usualmente.
MAQUINAS
"HACKEABLES"
Para
que este método funcione la maquina remota ha de ejecutar Windows 95
o Windows 3.11, y compartir carpetas sin contraseña en el modo "Acceso
a nivel compartido" (MiPc -> Panel de control -> Red | Control
de acceso), ya que si utiliza el "Acceso a nivel de usuario" nuestro
grupo debe estar autorizado en esa máquina (tambien podemos intentar
cambiar el grupo de nuestra maquina al que sale en NBTSTAT para que nos autorice,
esto lo hacemos con el REGEDIT)
Los sistemas WINDOWS 95 - OSR2 que estén ejecutando el Servidor Web
Personal de Microsoft desactivan esta posibilidad de acceso remoto tras informar
de la conveniencia de hacerlo al usuario (debido a que el servidor web obliga
a compartir carpetas aun sin tener red local).
NOS
PILLAN O NO NOS PILLAN
Es
difícil que un usuario que haya tenido el "despiste" de conectarse
a Internet con carpetas compartidas tome luego medidas de control sobre quien
entra en su maquina.
No obstante, esto es fácilmente posible ejecutando NETWATCH, desde
el cual podemos ver que usuarios están en nuestra maquina en cada momento
y el NOMBRE DE SUS PCs por lo que recomiendo inmediatamente usar el REGEDIT
para cambiar el nombre de nuestra propia maquina.
Por ejemplo si nuestra maquina se llama "MANUEL FERNANDEZ" pues
cogemos el regedit y cambiamos todas las cadenas donde aparece ese texto (usa
buscar!!) por otra menos cantante como "xxxxx" o "sinnombre".
Esto se hace muy recomendable en todos los sentidos en cuanto a que fácilmente
alguien puede saber como nos llamamos si hemos tenido el desliz de poner nuestro
nombre a la maquina ;)
De
todas formas el NETWATCH solo informa cuando un usuario externo ha conectado
un recurso a su propia maquina, así que mientras no conectemos ningún
recurso a unidad de red podemos fisgar con *relativa* tranquilidad, si no
armamos mucho cante el "objetivo" no tiene porque enterarse.
Por
cierto que si hemos conectado un recurso a unidad de red y en ese momento
"la víctima" quiere apagar el ordenador, le saldrá
un mensaje del tipo "hay otros usuarios conectados a su ordenador, si
lo apaga ahora se desconectaran"…¡¡imagínate
el mosqueo!! :D
QUEDA
UN LARGO CAMINO POR ANDAR
Esto
hasta aquí funciona y ha sido probado ya numerosas veces con éxito.
Puede ser un método como otro cualquiera para hacerse con alguna que
otra contraseña si el usuario tiene acceso a otros "hosts mas
gordos", eso la imaginación de cada uno.
Pero quedan asuntos pendientes, por ejemplo ¿como pasar a las carpetas
no compartidas?. Ese punto ni tan siquiera esta claro que sea técnicamente
posible, al menos directamente, aunque siempre queda la posibilidad de instalar
troyanos (que difícilmente serán ejecutados por un usuario medianamente
avispado).
Y, ¿como entrar a las carpetas que tienen contraseña? Tampoco
hay ni zorra idea si no tenemos acceso a los ficheros *.pwl.
El principal problema es que Windows no permite ejecutar remotamente, es decir
si hacemos click en un programa este será transferido a nuestra maquina
y ejecutado localmente, por lo que cualquier intento tipo "exploit"
de Unix está descartado, a no ser que SI exista la posibilidad de ejecutar
de forma remota. Yo desde luego, la desconozco.
VOLVER
GratisWeb
Version 1.0 - Tu página web gratuita
SOBRE
LOS DEFECTOS DE SEGURIDAD EN GÜINDOS 95
Galahad
vuelve al ataque para comentar algunos de los -extrepitosos-
fallos de seguridad en güindos 95. La compañía del B. Puertas
no anda
muy fina últimamente en lo que a programación se refiere, y
han dejado
un par de puertas abiertas que nosotros, como buenos hackers, podemos
(y vamos) a aprovechar. He aquí una lista:
*
Sobre como pasar de las ventanas de los passwords.
-
Bien . . . güindos es un sistema que intenta ser seguro contra cuelgues,
por lo que pulsando CTRL+AlT+SUPR nos invita a cerrar cualquier ventana
que no esté funcionando correctamente. Una pregunta: ¿habéis
probado a
hacerlo con las ventanas que os piden un password?
-
Otra posibilidad del güindos 95 es cerrar rápidamente una ventana
pulsando
sobre el botón "X" en la barra de título. Pues eso,
¿Qué os inpide cerrar
una ventana de password?
*
Acceder al DOS
Güindos
95 realmente no es un sistema operativo. Trabaja sobre el 2, que
sí lo es, pero que no proporciona ninguna seguridad: ej. tu simpático
vecinito de cinco años puede formatearte el disco duro y 2 no se lo
impedirá.
Sin embargo, en güindos el sistema comprueba siempre las restricciones
aplicadas a los usuarios por el administrador. ¿Qué quiere decir
esto? Que
si tienes acceso al DOS, el ordenador es tuyo.
Pero ahora se plantea un problema:
Muchos administradores de sistemas "prohiben" la entrada en 2 de
sus usuarios.
¿Cómo entrar entonces? Elije la forma que prefieras:
-
A través del menú ejecutar: Imposible! Ningún administrador
es tan tonto.
De todas maneras, prueba. Pulsa sobre Inicio|Ejecutar, escribe "Command"
(sin comillas) y pulsa enter. Si consigues el milagro, puedes ponerle una
vela a Santa Gema.
-
A traves de la ayuda: Con un editor de textos hexadecimal como WordPad
(no el bloc de notas) abre el archivo "COMMAND.COM" ves a la opción
"Guardar como..." normalmente en el menú "Archivo"
y guárdalo, en el
directorio dónde esté instalado Güindos 95, con el nombre
de
"WINHLP32.EXE". Ahora, cada vez que pulses la tecla F1, tendrás
un prompt
del DOS para ti sólo :)
-
Saltándote el inicio de Güindos al encender el sistema.
Pulsando F8 cuando aparece el mensaje "Iniciando Güindos 95"
y
seleccionando después "Sólo símbolo de MS-2"
accederás al 2. Un método no
muy bueno, pues muchos administradores desactivan el teclado en el inicio
del güindos.
-
A través de la pantalla "Ahora puede apagar el equipo"
Lo que sucede realmente al apagar el sistema es que Güindos se descarga
de memoria y presenta el famoso dibujito en la pantalla. Pero he aquí
lo
importante: Nos deja sobre MS-2. Prueba a escribir "CLS". La pantalla
se borrará y aparecerá el prompt del 2, en un modo gráfico
un tanto
peculiar. Para ver el prompt en modo de texto, escribe "MODE 80".
¡Podrás utilizar el 2 sim problemas! ¡Tú acción
no se registrará en los
logs del administrador! Un chollo, compadre.
VOLVER
GratisWeb
Version 1.0 - Tu página web gratuita
