teh drmad
drmad

Geek, soñador, leo, linuxero 100% y bruto. Algo flojo, pero muy buena gente :)
Más »
dorothy
dorothy
paperclip
Paperclip
feed / sindicalización
O usa
enlaces
publicidad
melancolía al despertar

Windows, Registro, Virus
Publicado el 22 de octubre del 2004 a las 13:15:00 en hacking, virus, windows (0 comentarios)

Mi amigo moche acaba de infectar a Huacachina con uno de esos virus que vienen por el MSN. El cochino virus se metio en todos lados: en el registro de windows, autoexec.bat, win.ini, system.ini, etc, etc, etc. :P

Me fui al DOS, y borré el virii, lo que ocasionó que dentro de Windows ya no pueda ejecutar ningun programa. Ni el command.com :-P

Entre tantos revoltijos que hice para repararlo, encontré algo un tanto interesante:


  • Cuando Windows recibe la orden de abrir un fichero, busca en el Registro la cadena a ejecutar para manejar ese tipo de fichero (lo determina por la extension). Esa cadena tiene forma de "manejador.exe %1", donde %1 es reemplazado por el nombre del fichero a abrir

  • Lo que no entiendo es por qué Windows usa tambien la misma secuencia para ejecutar un fichero ejecutable (hay una polémica sobre que hace a un fichero ejecutabie. Yo lo pongo como cualquier fichero que dé instruccines directas al procesador. Un binario), es decir, te permite colocar un 'manejador de ejecutables'. Normalmente, la cadena de ejecución es '"%1" %*', que quiere decir que ejecute el fichero con todos sus parámetros. Esto parece que fuese hecho exclusivamente para poner troyanos :)

  • Lo que me percaté hoy fue que cuando abres (o ejecutas) un fichero, Windows busca su asociación en el registro, y luego ejecuta lo que esté en su cadena de ejecución. Pero ésta ejecución no es confrontada con el registro nuevamente (obvio, sino se podrían crear bucles infintos).

  • Valiéndose de esto, y si un cochino virus se te ha metido en el registro, impidiendo ejecutar cualquier programa, podrias hacer lo siguiente:

    1. Copias el command.com (o cualquier otro ejecutable) sobre el notepad.exe, y
    2. Abres un archivo de texto :) Windows ejecutará el notepad.exe sin confrontarlo con el registro, y tadaaaá! ya tienes un shell para empezar a hacer cosas.

Ese virus te bloquea el acceso al registro. Para poder corregir esto, creas un fichero .reg con lo siguiente:



Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem]

"DisableRegistryTools"=dword:00000000

(si usas Win95/98, cambial la primera linea por REGEDIT4)

regresar a la página principal :: escribir un comentario

Comentarios a este post

No hay comentarios para esta página.

Publicar nuevo comentario

Nombre:


Email (no mostrado públicamente):


Sitio web (opcional):


Comentario: