drmad.org
melancolia al despertar - blog de oliver etchebarne bejarano Oliver Hacks Expos Paperclip RSS 2.0  
búsqueda
teh populars
Evolución del audio de las PC (y nostalgia por Monkey Island)
Google desde la línea de comandos
Avance de "Sintel"
Cabeza 3D, round 2
¿Adios Flash? (Y bienvenido HTML5/Javascript)
Código postal para abrir cuenta de Hotmail (o MSN Live), Round 3
Códigos Postales de Perú
Cabeza 3D (Alpha)
Aclaración: ODIO JAVA (y un poco de switch/case)
Guía de pos instalación de Ubuntu Linux 10.04
Últimos comentarios
es obvio que sus videos son totalmente falsos. No se han dado cuenta?...
angel en Laura Bozzo: más pruebas de su farsa
Me gusto la forma en que le dices a Java que es una...
paridin en Aclaración: ODIO JAVA (y un poco de switch/case)
Aplausos.. ;-)
Rafael Bucio en Aclaración: ODIO JAVA (y un poco de switch/case)
Pero dejar PHP por que tenmga algo de C? eso no, no compares,...
FCR en Aclaración: ODIO JAVA (y un poco de switch/case)
Algo cierto es que java es uno de los primeros lenguajes,...
Pley en Aclaración: ODIO JAVA (y un poco de switch/case)
publicidad
dorothy
dorothy
flickr
Ver más fotos »
Retrazos, por jgwong
Retrazos
feed rss / sindicalización
O usa
enlaces
« »
Windows, Registro, Virus
Publicada el 22 de October del 2004 en hacking, virus, windows

Mi amigo moche acaba de infectar a Huacachina con uno de esos virus que vienen por el MSN. El cochino virus se metio en todos lados: en el registro de windows, autoexec.bat, win.ini, system.ini, etc, etc, etc. :P

Me fui al DOS, y borré el virii, lo que ocasionó que dentro de Windows ya no pueda ejecutar ningun programa. Ni el command.com :-P

Entre tantos revoltijos que hice para repararlo, encontré algo un tanto interesante:

  • Cuando Windows recibe la orden de abrir un fichero, busca en el Registro la cadena a ejecutar para manejar ese tipo de fichero (lo determina por la extension). Esa cadena tiene forma de "manejador.exe %1", donde %1 es reemplazado por el nombre del fichero a abrir

  • Lo que no entiendo es por qué Windows usa tambien la misma secuencia para ejecutar un fichero ejecutable (hay una polémica sobre que hace a un fichero ejecutabie. Yo lo pongo como cualquier fichero que dé instruccines directas al procesador. Un binario), es decir, te permite colocar un ‘manejador de ejecutables’. Normalmente, la cadena de ejecución es ‘”%1″ %*’, que quiere decir que ejecute el fichero con todos sus parámetros. Esto parece que fuese hecho exclusivamente para poner troyanos :)

  • Lo que me percaté hoy fue que cuando abres (o ejecutas) un fichero, Windows busca su asociación en el registro, y luego ejecuta lo que esté en su cadena de ejecución. Pero ésta ejecución no es confrontada con el registro nuevamente (obvio, sino se podrían crear bucles infintos).

  • Valiéndose de esto, y si un cochino virus se te ha metido en el registro, impidiendo ejecutar cualquier programa, podrias hacer lo siguiente:

    1. Copias el command.com (o cualquier otro ejecutable) sobre el notepad.exe, y
    2. Abres un archivo de texto :) Windows ejecutará el notepad.exe sin confrontarlo con el registro, y tadaaaá! ya tienes un shell para empezar a hacer cosas.

Ese virus te bloquea el acceso al registro. Para poder corregir esto, creas un fichero .reg con lo siguiente:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem]
"DisableRegistryTools"=dword:00000000

(si usas Win95/98, cambial la primera linea por REGEDIT4)

Regresar a la página principal :: Escribe un comentario

Comentarios a este post

Publica un nuevo comentario






teh drmad blog - corriendo sobre wordpress y alojado por icaserver
todo publicado bajo la licencia Reconocimiento-NoComercial-CompartirIgual 2.5 Perú de Creative Commons.

php apache wordpress hacker Creative Commons License Peru Blogs BlogsPeru.com inkscape planeta linux