Windows

-[ 0x10 ]--------------------------------------------------------------------

-[ INSIDE WINDOWS 95 ]-------------------------------------------------------

-[ by Maikel]---------------------------------------------------------SET-20-

--------------------------------------------------------------------------------

J U G A N D O C O N W I N D O W S ' 9 5 B Y M A I K E L 1 9 9 9

--------------------------------------------------------------------------------

v 3

INDICE:

PARTE 1

Editando el Explorer.exe del Windows'95 (y 98, creo...Falken me confirma

que tambien funciona en windows NT), y de paso introduccion al mundo de

los editores en hexadecimal.

PARTE 2

Cambiando los graficos de inicio de windows 95...

PARTE 3

Echando un vistazo al archivo c:\msdos.sys

PARTE 4

Jugando con el registro de windows 95 98 y NT

PARTE 5

Los programas que se ejecutan al arrancar en w95. (ej. troyanos)

CONCLUSION:

ANEXO 1:

Sobre los atributos de los archivos en ms-dos y windows

ANEXO 2:

Curiosidades de los navegadores. FTP: HTTP: ABOUT:

ANEXO 3:

Parte legal

(by Falken)

P A R T E 1:

--------------------------------------------------------------------------------

Editando el Explorer.exe del Windows'95 (y 98, creo... Falken me confirma que

tambien funciona en windows NT), y de paso introduccion al mundo de los editores

en hexadecimal.

--------------------------------------------------------------------------------

Como nunca tengo nada que hacer, en vez de estudiar para el examen de

eletronica que tengo dentro de 4 dias (nota: al final lo suspendi :( si es que..)

digo voy a escribir un articulillo con un poco de teoria sobre editores

hexadecimales , utilizando un ejemplo en el cual cambiaras el nombre "Inicio" de

Windows 95 por otro que tu quieras. ¿que para que?...pues yo que se, para

aprender.

¿que por que?

Para no tener que explicar como hacer este truco varias veces a mis amiguetes.

Y si de paso le puede servir a alguien mas, pues eso que ganamos ¿no?.No se como

acabara este texto, ni si sera corto o largo. Si lo estas leyendo es porque al

final lo hice. Lo pondre lo mas facil que pueda ya que en principio va dirigido

a gente muy, muy, novata, y asi de paso que aprendan para que ellos solos hagan

sus "pinitos".

Necesitaremos un editor hexadecimal. ¿que es eso?

Un editor como el edit de ms-dos o el notepad de windows 95, pero que muestra

todos los bytes de los archivos byte a byte en forma hexadecimal (de ahi su

nombre) ademas de en formato ASCII. La verdad es que se podria utilizar

cualquier editor, pero es una lata porque hay editores que formatean el texto

donde no deben, y el hexadecimal en cambio, edita el archivo tal y como es, y

te pone el numero en hexadecimal de todos los bytes, incluso los caracteres que

no se ven en ASCII, ademas asi aprendeis a manejarlo.

Dejemonos de teoria y a conseguir un editor.

Yo uso el Ultra Edit 32 para windows 95. Os podeis bajar la ultima version en:

http://www.ultraedit.com

Este es un editor de ASCII que permite editar en hexadecimal y en modo texto.

Ahora empezaremos a operar, prestad atencion...

-=00=-Operando-=000=-

1. Buscando el archivo clave:

Con el editor hexadecimal en mano abrimos el archivo explorer.exe que esta en

el directorio c:\windows\explorer.exe

1.1 Una vez encontrado haz una copia de seguridad de el archivo. Una copia de

seguridad es simplemente copiar el archivo con otro nombre o extension. Para que

si la cagamos copiemos la copia de seguridad sobre el archivo estropeado.

2. ¿que hemos encontrado?

explorer.exe a parte de ser el explorador de windows, una especie de Comandante

Norton, parece ser que es donde se esconde gran parte del texto del software

de windows.

Es decir lo de abrir, cerrar, Inicio, "El archvo no se ha encontrado"...

Advierto que si os equivocais os podeis cargar el windows. Yo solo explicare

como cambiar el nombre de el menu Inicio. Si tu quieres cambiar algo mas es cosa

tuya. ( Yo tambien tengo cambiado lo de "apagar equipo" -> "txapar ordenata"

y lo de "Ayuda" --> kit!!! ,queria poner kit te necesito, pero petaba el

explorer, todo esto del menu Inicio).

3. Editando...

Ya estamos dentro de ese archivo. Vemos mogollon de caracteres raros.

Los textos que buscamos estan por el final.

Modificando...

Si quieres cambiar el nombre Inicio por el que tu quieras debes de buscar

la palabra Inicio. Puedes leerte todo el archivo a ver si encuentras algo,

o puedes buscar en hexadecimal o en ASCII (hexadecimal recomendado). Seguro

que tu editor tiene la opcion buscar.

3.11 Cambiando el menu Inicio...

Busca Inicio.

Inicio: bueno en realidad no es Inicio esta de la siguiente forma:

En formato ASCII: I n i c i o (lo que hay entre las letras es el caracter Nulo

(00h). ¿que significa 00h? Significa que es el valor 00 en hexadecimal.

Lo mejor que puedes hacer es buscarlo en hexadecimal :

------------------------------busca esto---------------------------------------

49 00 6e 00 69 00 63 00 69 00 6f : I n i c i o

I n i c i o

-------------------------------------------------------------------------------

Si te fijas "I" es 49 e "i" es 69. O sea que hay que diferenciar entre

mayusculas y minusculas.

Yo no me se de memoria las letras en hexadecimal. Pero te vas al final del

archivo que hay mucho texto y miras que numero corresponde a cada letra. Luego

buscas lo que quieras , fijate que entre letra y letra hay siempre un byte

nulo, que es 00 en hexadecimal.

Pues una vez encontrado hay que cambiarlo, te recomiendo que cambies las

letras inicio que son 5 por otra palabra de 5 caracteres.

I n i c i o -> M a i k e l

5 5

La version inglesa solo tiene 4 caracteres:

S t a r t -> M a i k e (l) No se si se le pueden poner mas de 4 o 5.

La verdad es que no lo he probado. Si no eres experto en hexadecimal

y no sabes lo que haces te recomiendo que lo hagas como lo hice yo. Letra X

Letra.

4. Otros textos.

Si quieres cambiar mas cosas ya sabes igual que hemos cambiado lo de Inicio.

Por cierto que hay varios "I n i c i o" cambialos todos.

[ Nota de Falken: La ultima aparicion de la cadena de texto dentro

del fichero es la que causa el efecto, y con esa basta. ]

5. Guardando el archivo modificado. No se puede guardar directamente desde

windows 95, porque el archivo esta siendo ejecutado continuamente y esta

protegido contra escritura por el sistema operativo. Es por eso que tienes

que guardar el archivo con otro nombre. Guardalo en el direcotrio "windows"

por ejemplo con el nombre explorador.new .

Despues hay que reiniciar windows en modo MS-DOS y copiar el archivo que has

guardado sobre el original de la siguiente manera.

Reinicias en modo ms-dos

-----------------------------------------------------

Microsoft(R) Windows 95

(C)Copyright Microsoft Corp 1981-1995.

c:\>cd windows(intro)

c:\windows\>copy explorador.new explorador.exe(intro)

El archivo ya existe...

¿desea sobreescribir el archivo? S/N

S(intro)

------------------------------------------------------

Ya esta reinicias y tachan el menu Inicio se llama Maikel!!!!.

[ Nota de Falken: No hace falta decir que si se trata de una version

en ingles, el fichero se llamara explorer.exe

Ademas, en NT el proceso es ligeramente diferente. Si no esta

accesible la particion NT desde MSDOS, la mejor solucion esta en

finalizar el proceso 'explorer.exe' desde el administrador de

tareas. Ahora ya es posible grabar el fichero, pues ya no esta

siendo usado por el sistema. Seguidamente lanzamos una nueva tarea,

que sera explorer.exe, y listos. No hace falta reiniciar. ]

Pues esto es todo. Ahora ya puedes dejar volar tu imaginacion y hacer tus

pinitos con tu editor hexadecimal, recuerda copias de seguridad siempre.

Fin

maikelnight@bigfoot.com

mayo de 1999

P A R T E II:

--------------------------------------------------------------------------------

Cambiando los graficos de inicio de windows 95...

Cuando enciendes o apagas windows 95 aparecen unos grafiquillos.

Si quieres los puedes cambiar, ahora te explico como.

Este es el grafico que pone "ahora puede apagar el equipo"

c:\windows\logos.sys

Este el de "apagando el equipo, por favor espere"

c:\windows\logow.sys

Y el de iniciando windows95 esta en

c:\logo.sys nota: despues explicare los problemas que este ultimo tiene.

Para cambiar los dos primeros , tan solo utiliza el "paint" de windows o

cualquier porgrama de edicion de graficos. Los abres, los editas y los

guardas con las mismas paletas y numero de colores, 256.

Si quieres cambiar de paleta o utilizar tus propios graficos, recuerda que

los archivos tienen que estar a 320 x 400 y 256 colores 8 BITS.

El tama~o es siempre de 129,078 bytes por si te sirve de algo.

Con el archivo c:\logo.sys tienes los siguientes problemas:

1. Puede no estar.

-Puede estar oculto: (esto esta copiado de un manual de hack pa

principiantes.

"haz click en "ver", entonces haz click en "archivos por tipo",

entonces comprueba el apartado de "mostrar ocultos/archivos de

sistema".

-Si aun asi no esta no esta, puede ser que estes utilizando el

doublespace o varios discos duros. Busca el archivo en todos los

directorios raices de tu ordenador. c:\ d:\ e:\ etc.

-Y si despues de todo no esta , entonces debes de crearlo. Es facil,

copia el logow.sys por ejemplo, en c:\logo.sys. Y despues lo modificas.

Esto pasa porque el windows95 comprueba que existe el archivo logo.sys

en c:\ , si no esta usa la copia que tiene dentro de io.sys. Pero

bueno el caso es que si lo creas, utilizara el logo.sys

2. Antes de modficar el archivo c:\logo.sys quitale los atributos de

lectura solo, oculto, y sistema. esto se hace desde ms-dos de la siguiente

manera...

c:\>ATTRIB -R -H -S C:\LOGO.SYS

Nota final sobre el c:\logo.sys, este archivo viene con una animacioncilla

en la parte de abajo del grafiquillo, si, esos cuadrados azules que van cambiando

pero cuando lo editas con el paint, y modificas el archivo te cargas la

animacion, :( , yo no tengo ni idea de como ponerla otra vez , lo siento,

pero si se de la existencia de programas que lo hacen, busca en la red.

(Si lo encuentras me lo dices :9 )

[ Nota de Falken: Veamos como se hace esto en Windows NT.

Hay dos formas. La basica, que es crear nuestra propia imagen de

inicio y sustituir con ella el fichero winnt.bmp que se encuentra

en el directorio \winnt.

Pero la que prefiero es jugando con el registro. La configuracion

que se carga por defecto es la correspondiente al usuario por

defecto. Asi, tan solo hay que cambiar la imagen del escritorio de

este usuario. La llave correspondiente del registro es:

HKEY_USERS\.DEFAULT\Desktop\Wallpaper

Si curioseamos en HKEY_USERS\.DEFAULT\Desktop veremos un monton de

cosas que podremos retocar a nuestro gusto. ]

P A R T E III:

--------------------------------------------------------------------------------

Echando un vistazo al archivo c:\msdos.sys

Primero debemos editar el archivo, advierto que el archivo esta oculto

protegido, y de sistema, o sea que a quitarle atributos con el attrib.

c:\>ATTRIB -R -H -S C:\MSDOS.SYS

Ahora lo editamos y vemos las siguientes lineas:

--------------------------------------------------------------------------------

[Paths]

WinDir=C:\WINDOWS

WinBootDir=C:\WINDOWS

HostWinBootDrv=C

Esto lo dejamos porque no nos sirve de nada, y no queremos estropear windows.

Ademas esta claro lo que hace.

--------------------------------------------------------------------------------

[Options]

BootMulti=1

BootGUI=1

Network=1

La linea BootGUI , quiere decir iniciar con el GUI, que es el "Graphic User

Interface" , o sea con las ventanitas del windows. Si el valor esta =1 ,

iniciara en modo windows, si el valor es =0, iniciara en modo MS-DOS. Cuando

inicias Windows en modo MS-DOS , windows pone a 0 este valor.

Fragmento que encontre en un "manual de hacker" y que puede ser interesante.

"Para desactivar las teclas de funcion durante el arranque, directamente

debajo de [Options] tienes que insertar el comando "BootKeys=0."O, otra

manera de desactivar dichas teclas de arranque, es insertar el comando

BootDelay=0."

Creo que esta claro, pones la linea BootKeys=0 y no funcinara ninguna tecla

cuando pone lo de...

Iniciando windows 95...

-------------------------------------------------------------------------------

DrvSpace=0

DblSpace=0

DoubleBuffer=1

Logo=1

DrvSpace = 0 y DblSpace = 0 le dice a windows si estas usando double space o

drive space, esto no lo toques, si lo usaras estaria a valor 1.

No se para que sirve el DoubleBuffer, pero lo tengo activado, supongo que sera

algun buffer de windows, dejemoslo como esta.

Logo = 1, esta linea indica a windows que al iniciar ponga el archivo logo.sys

del cual ya hemos hablado en este articulo. Si el valor = 1 lo se visualiza

si es = 0 , no lo lee, y asi puedes ver lo que va pasando en el autoexec.bat

y config.sys. Tambien puedes quitar el grafico de iniciando windows 95,

pulsando la tecla ESC cuando sale el grafico.

Bueno esto es todo sobre este archivo. Ya veremos que se me ocurre para ampliar

este documento que ya empieza a ser util y largo.

Maikel mayo 1999

P A R T E IV:

--------------------------------------------------------------------------------

Jugando con el registro de windows.

El registro de windows es una pieza muy importante del corazon de windows 95.

En el se guarda casi toda la informacion sobre el sistema, sobre los usuarios y

sobre el software instalado."Contiene informacion acerca de la manera en que se

ejecuta su PC" Ayuda de Windows.

Para acceder a el hay que utilizar la utilidad que viene con windows 95 ,"editor

de registro", que se encuentra en: c:\windows\regedit.exe

Operando:

Este tutorial sobre como modificar el editor de registro te va a ense~ar algun

truco, pero ademas pretende que tu descubras por tu cuenta "lo que quieras".

Te vamos a esene~ar a utilizar este programa de forma general.

1) COPIA DE SEGURDAD DEL REGISTRO DEL SISTEMA:

Muy importante es hacer una copia del registro del sistema. Este se encuentra en

los siguientes archivos:

-c:\windows\system.dat (el archivo clave) Esta oculto, protegido contra

escritura , y de sistema o sea +h +r +s. Pero bueno a nosotros eso nos da

igual, simplemete que si esta +h no lo veras pero siempre esta ahi.

Para hacer una copia de seguridad...

copy c:\windows\system.dat c:\windows\system.bak

-c:\windows\user.dat Haz lo mismo que con el archivo anterior.

-c:\windows\system.da0 (este es una copia de seguridad del propio windows), por

si se te olvido hacer copia de seguridad recuerda que windows tiene la suya pro-

pia.

-c:\windows\user.da0 Igual que el anterior es una copia de seguridad de w95.

Para recuperar las copias de seguridad haz:

attrib -h -r -s system.dat

copy system.da0 system.dat

attrib -h -r -s user.dat

copy user.da0 user.dat

Reinicie su equipo.

2) Empecemos a editar.

Ejecutamos el archivo c:\windows\regedit.exe

Estos son los directorios mas importantes.

HKEY_CLASSES_ROOT (tipos de archivos, extensiones...)

HKEY_CURRENT_USER (Informacion personal y otros)

HKEY_LOCAL_MACHINE (Informacion de hardware y software, la mas interesante)

3) Cambiando el nombre del usuario registrado de windows. A veces cuando compras

un ordenador nuevo, tiene preinstalado windows95. El nombre del propietario

puede ser algo asi como USER1. Para ver a que nombre esta tu windows , pon ayuda

en cualquier aplicacion de windows, y luego , acerca de windows 95.

Pues vamos a ver como lo cambiamos. Miramos el nombre de usuario actual, com

acabo de decir. User1 por ejemplo. Nos vamos al Regedit y en buscar ponemos

User1. Despues de unos segundos nos lleva a la siguiente direccion...

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

!!!!ACABAS DE DESCUBRIR UN SITIO MUY INTERESANTE!!!!

Puedes cambiar desde tu nombre, nombre de windows (ahora yo no tengo windows 95

tengo el Ventanucos 95), la version...¿que os parece?, y solo con buscar el

nombre de usuario. Podria dedicar todo un articulo a esta seccion. Te recuerdo

que te puedes equivocar, asi que ten a mano tu copia de seguridad.

Y si abres esa misma ventana...mas cosas...

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\*.*

4)Borrando programas fantasma de la opcion de windows desinstalar software. A

veces al desinstalar una aplicacion, o al borrarla windows no elimina el

nombre de la lista de aplicaciones instaladas. No pasa nada esa lista esta en

el registro de windows. Busquemos por ejemplo... Distributed Computing Client.

Es el cliente de el proyecto Bovine :) . Supongamos que lo hemos borrado sin

usar esta opcion de desinstalar, ahora no podemos quitar este programa de la

lista. Busquemos pues...

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\...

Este es el directorio de la lista de software instalado. Simplemente borra la que

te estorbe.

[ Nota de Falken: Bueno, bueno. Si nos pusiesemos a hablar sobre el

registro en Windows, particularmente en NT, podriamos hacer un

libro entero. De hecho, existe un libro muy bueno de O'Reilly sobre

el registro en Windows 95 y otro sobre NT, que son muy buenos.

De todas formas, que sepais que con el registro de Windows podeis

hacer casi de todo. ]

P A R T E V:

--------------------------------------------------------------------------------

Programas que se ejecutan al iniciar el ordenador en windows 95, 98 y NT

Esta seccion abordara el tema de el software que se ejecuta al iniciar

el ordenador. No siempre se ejecutan aplicaciones que queremos que se ejecuten,

por ejemplo troyanos, o sniffers. Voy a intentar explicaros las zonas basicas

que se deben tener controladas, para saber en todo momento que programas se

estan ejecutando en tu PC.

Una forma de saber lo que se esta ejecutando en tu pc es pulsar

Cntr + Alt + Supr. Entonces windows te mostrara los programas que

estan en ese momento funcionando.

Me ha salido a mi en este momento...

UltraEdit32 <----- El programa que utilizo para escribir el articulo.

Explorer <----- El explorer.exe , archivo del que ya hemos hablado.

Systray <----- Pues no se que es, supongo que algo interno de

windows, voy a darle "finalizar tarea" a ver que pasa.

Me ha dado un mensaje de error y me lo ha cerrado...

ahora esto funciona sin ese programa, ¿que diantres

sera? En la ayuda de windows no dice nada... olvide-

moslo, siempre ha estado aqui y no creo que sea un

troyano.¡¡¡Ya se lo que es!!! Es el enchufe que me

salia en la barra de tareas. Es para controlar la pila

del portatil...

[Daemon: Esquina inferior derecha, es la bandeja donde se instalan las

aplicaciones residentes. Control de sonido, bovine, pgp...

systray viene precisamente de System Tray]

[Falken: Exacto. De hecho hay programas para acceder a todas las tareas

desde un icono en el System tray, y un monton de pijadas mas. ]

Pero hay mas cosas instaladas en memoria, por ejemplo lo que hay en la

parte derecha de la barra "inicio" ("maikel").

Hay un relojillo...

Una especie de altavoz...que es lo de mi tarjeta de sonido...

Y un enchufe...que se supone que es para el estado de la bateria de los

portatiles, pero que a mi me sale y no consigo quitarlo...

(nota de utlima hora eso es el programa

c:\windows\system\SysTray.exe)

Tambien hay una cara de vaca...esto es el programa de RC-5 bovine...

Pues esto es todo lo que hay supuestamente cargado en memoria, pero

por supuesto hay mas cosas, que no se pueden ver tan facilmente. Normalmente

los troyanos y los sniffers se escapan a simple vista, aun asi hay algunos

sniffers que se ponen un nombre raro como el keylog2 que se oculta llamandose

WinMem. Si al apretar cntr + alt + sup te aparece winmem, chungo. Los programas

que se inician en ms-dos al arrancar suelen estar ocultos, es el caso de los

drivers para ms-dos del cd-rom, el raton para ms-dos que realmente estan

ocupando memoria. Los sniffers y cosas asi tambien se ocultan.

Lo que haremos sera buscar en las zonas clave donde los programas se

inician. Es decir que los localizaremos buscando sentencias de ejecucion.

NIVEL 1 de EJECUCION: La manera mas simple de ejecutar un programa

al iniciar es colocando un acceso directo en el menu de inicio, dentro

de la subcarpeta Inicio, que en la version inglesa se llama Startup. Esto

es importante porque hay programas que en vez de colocarse en inicio se

creen que es la version inglesa y te crean la carpeta startup para meterse

en ella. ¿Como mirar lo que hay en esa carpeta? . Le das al boton de...

Inicio -> programas -> inicio

En mi ordenador pone carpeta vacia,, pero tambien puedes encotrar...

Microsoft Fast Cache --> que era de el winword...

tunderbyte antivirus --> Hay antivirus que usan este sistema para

iniciarse al arrancar...

Tu tambien puedes ejecutar el programa que quieras, tan solo debes introducir

un link. para introducir o modificar tienes que hacer...,

Inicio -> Configuracion -> barra de tareas -> programas de el menu inicio ->

-> opciones avanzadas.

Entonces se abrira el explorador y podras modificar todo el menu inicio.

Explora en -> programas y busca inicio.

Tambien puedes directamente utilizar el explorador de windows, y entrar en:

c:\windows\menu inicio\

Es lo mismo. Una vez dentro modifica a tu antojo. Lo ideal es que sepas

para que sirve cada programa que se ejecuta al iniciar.

NIVEL 2 DE EJECUCION: El registro de windows. En el registro de windows

tambien hay una seccion dedicada a los programas que se van a ejecutar al

iniciar windows 95. A este nivel se puede encontrar por ejemplo...

El cliente de DISTRIBUTED.NET para el proyecto bovine....

tu tontea, a lo mejor algun amiguete te lo ha metido,

y le estas procesando bloques para el...

EL troyano NetBUS tambien lo podemos encontrar aqui, si lo tuvieramos

con borrar la entrada de este ya no lo tendriamos al iniciar otra vez.

Como ya he explicado en otra parte de este paquete sobre windows,

abrimos el editor de registro regedit...Como no me acuerdo de donde

era exactamente , busco distributed.net...que se que se inica al arrancar...

espero...mi 486 es mas lento que el caballo de los indios en las pelis

de vaqueros...me encuetra cosas pero no es lo que busco... le doy a siguiente.

no me lo ha encontrado... buscare el directorio, pongo buscar...

C:\ARCHIV~1\DISTRI~1.NET\ espero...lo encontre!!!! Trabajo que os ahorro...

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Aqui es donde esta la lista de programas que se ejecutan al iniciar en este

nivel. Os pongo la mia...

[predeterminado] valor no establecido <-esto no es nada...

bovwn32 C:\ARCHIV~1\DISTRI~1.NET\RC5DESG.EXE -guistart <- el programa bovine

SystemTray SysTray.Exe <- otra vez el programa de antes...¿que sera?

¡¡¡ya lo se!!! es para controlar la pila de el

portatil, como esto no es un portatil, fuera. Ya

sabia yo que algun dia sabria lo que es...

Tbav for Windows 95 C:\TBAVW95\TBLOAD32.Exe /AutoStart <- mi antivirus no sabia

que tambien estubiera por aqui. Lo quitare que

me gasta procesador.

WinHacker 95 "" <- juer macho, ¿que hace esto por aqui? Que programa mas plasta

ya os hable de el en la conclusion. Fuera que me molestas!!

Nbserver (o algo asi) <- si tuvieras esto por ejemplo seria el netbus, lo borras.

Pues esto es todo aqui. espera...¿que es esto que veo por aqui?

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Mi Pc\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Parece ser que hay programas que los pones en RunOnce y se ejecutan una sola vez,

supongo que sera para instalaciones y cosas asi. No te olvides de echar un

vistazo en RunServices que tambien puede haber algo sospechoso.

[ Nota de Falken: Simple:

- RunOnce -> Se ejecuta tan solo una vez y se autoelimina del

registro.

- Runservices -> Mientras que Run y RunOnce se ejecutan una vez

Se ha entrado a nivel de usuario, RunServices lanza la

aplicacion como servicio del sistema, durante la inicializacion

del mismo. Esta es una buena prueba para comprobar lo consume

recursos que llega a ser Windows. Probad a colocar hay

cualquier programa y comprobad el resultado.

- RunServicesOnce -> Pues a RunServices como RunOnce es a Run. ]

NIVEL3: Programas que se instalan en memoria cuando windows esta

leyendo los archivos autoexec.bat y config.sys

Los archivos autoexec.bat y config.sys eran los centros neuralgicos

de nuestros antiguos pc, cuando utilizabamos ms-dos. En ellos estaban la

informacion necesaria para cargar el raton, el cd, la tarjeta de sonido, el

ansy.sys, que tiempos aquellos. Windows 95 es compatible todavia con

ms-dos. Esos archivos son respetados por windows. Ademas los programas

que se carguen en esos archivos permaneceran en memoria, y no saldran por

ningun sitio. Es por eso que lo que debeis hacer es editarlos y comprobar

que todo lo que se ejecuta es conocido.

Yo os pongo algunas cosas que hay en mis dos archivos por si os puede ser

util, para no sospechar de cosas normales.

config.sys (todo estas lineas son normales si las tienes no las borres,

no copies esto en tu congif.sys porque yo estoy poniendo trozos)

[menu]

menuitem=win,Windows95

menuitem=Musica,Musica

menuitem=Emuladores,Emuladores

menuitem=XMS

menuitem=CD,Discos Compactos

[conmon]

device=C:\WINDOWS\setver.exe

[win]

[XMS]

DEVICE=C:\CDPRO\VIDE-CDD.SYS /D:MSCD001 /P:1F0,14 /P:170,15 /P:1E8,12 /P:168,10

DOS=UMB

DOS=HIGH,umb

FILES=40

DEVICE=C:\WINDOWS\himem.sys

[Musica]

device=C:\WINDOWS\setver.exe

DOS=UMB

DOS=HIGH,UMB

set loadhidata=C:\QEMM\LOADHI.RF

DEVICE=C:\QEMM\QEMM386.SYS RAM SH:N RF EMS

DEVICEHIGH=C:\WINDOWS\COMMAND\DRVSPACE.SYS /MOVE

DEVICE = C:\IOMEGA\ASPIatap.SYS Info Country=034

DEVICE = C:\IOMEGA\SCSICFG.EXE /L=034 /V

DEVICE = C:\IOMEGA\SCSIDRVR.SYS /L=E

DEVICE=C:\CDPRO\VIDE-CDD.SYS /D:MSCD001 /P:170,15

autoexec.bat

Path C:\WINDOWS;C:\WINDOWS\COMMAND;c:\utils\un;C:\QEMM;c:\utils\comp;...

Esto es el path no es nada malo.

lh=C:\amouse\amouse <- el raton para ms-dos

lh=c:\windows\alsinit.exe <- la tarjeta para ms-dos

C:\WINDOWS\COMMAND\MSCDEX /D:MSCD001 /V /L:D <- el cd-rom

Todo lo que viene ahora es para el teclado en espa~ol...

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)

mode con codepage select=850

keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys

Si ves algo como c:\windows\system\sniffer.exe pues lo borras. Esto es

todo espero que te hayas deshecho de los troyanos. No se si habran mas

lugares sospechosos de poder ocultar programas autoarrancables.

C O N C L U S I O N:

--------------------------------------------------------------------------------

Bueno espero que os haya servido de algo este peque~o paquete de trucos para

windows. Son muy basicos lo se, pero siempre hay gente que esta empezando y

no los conoce. Ademas no he visto mucho sobre este tema en los e-zines que he

leido. Mi principal intencion no era la de ense~aros el truko del almendruko

para tal aplicacion, sino ense~aros a descubrir por vosotros mismos/as.

Si ademas aprendeis a manejar un editor hexadecimal, y cuatro cosas mas pues

mejor. Para realizar este articulo he utilizado: ayuda de windows, ultraedit 32,

paint de windows, comandante norton, alguna paginilla de internet con info,

el segundo numero de GUIA DEL HACKING (mayormente) INOFENSIVO de Carolyn Meinel.

Tambien me he basado en el "winhacker 2.0", que es un programa que

hace muchas de las cosas que he comentado en este articulo, pero las hace auto-

maticamente, no te dice como, pero bueno yo tomaba nota de "que" se podia hacer

y despues intentaba saber el "como". Ademas los muy pajaros del winhacker lo

venden, como si hacer lo que os he explicado fuera algo tan dificil como para

necesitar un programa. Ademas le ponen el nombre de "hacker", para que ademas

te sientas un gran "hacker" por cambiar, sin tener ni idea de "como", la

palabra "inicio" de windows por "paquito". Pero en fin ¿no hay gente que se ha

hecho rica vendiendo software que no vale para nada?.

Resumiendo, no estudiar, comprender, no memorizar, entender.

Un saludo Maikel 30 de mayo de 1999

--------------------------------------------------------------------------------

A N E X O I S O B R E L O S A T R I B U T O S D E A R C H I V O S

E N MS-DOS Y E N WINDOWS '95 '98

--------------------------------------------------------------------------------

Explicacion adicional sobre que son los atributos. (especialmente dedicado a

los usuarios que desde siempre han utilizado windows ). El sistema operativo no

trata todos los archivos por igual, los hay normales, o sea que se pueden

escribir, leer, modificar etc, y un poco menos normales. Todos tienen sus

atributos , que se pueden asignar o quitar a casi voluntad con el attrib en

ms-dos , o haciendo click en el boton derecho, propiedades, atributos, en w95

(a veces el S.O. se pone cabezon). Yo recomiendo desde ms-dos porque es mas

potente que los ventanucos de windows.

Pon c:\>attrib.exe y veras los atributos del direcotrio c:\>

a = (archive?), que indica?

r = Read only , son de solo lectura

h = Hide , son ocultos

s = System , de sistema , mejor no tocarlos.

Para quitar atributos hay que utlizar el attrib de la siguiente manera:

attrib archivo -lo que sea , por ej -r -h -s

Y para ponerle atributos...

attrib archivo -(lo que sea) , por ej +r +h +s

Muchas veces cuando grabas de un cd al disco duro, lo programas empiezan a

fallar. Es muy probable que eso se deba a que todos los archivos de los cd-rom

estan puesto modo +R, o sea solo lectura, y cuando los copias , lo haces

con los modos incluidos. Es por esto que los programas no pueden modificar su

configuracion, y cosa asi, y a veces ni funcionan. Cuando te pase esto, entra

en el directorio donde hayas guardado el programa desde ms-dos, y pon...

c:\juegos\pepe99\attrib -r *.*

Y ya esta casi seguro que funciona. Es le ha pasado a mucha gente con los

emuladores, y no pueden cambiar la configuracion de las teclas y cosas asi.

--------------------------------------------------------------------------------

A N E X O II C O S I L L A S D E L O S N A V E G A D O R E S

--------------------------------------------------------------------------------

(Todo esto ha sido probado en Netscape 3.0 y 4.0, no se si todo funcionara en el

resto de navegadores de el mercado)

FTP:

Algunas personas no saben que se puede utilizar la lineas de comandos del

navegador para mas cosas ademas de para hacer http. Tambien se puede hace ftp.

Cuando tu pones ftp://ftp.microsoft.com , lo que haces es conectarte al ftp de

microsoft con el login: anonymous y el pass: tuemail@tuservidor.com

Pero tambien te puedes conectar a un servidor con el password y login que

quieras de la siguiente forma:

ftp://superlogin:superpass@ftp.todoa100.com:69

^ ^ ^ ^ ^

a b c d e

a: indicas que es una sesion de ftp

b: es el nombre de usuario o login

c: es el password

d: el servidor

e: el puerto al que te quieres conectar (si no indicas puerto se conecta al

que se usa por defecto, el 80 creo.)

[Daemon: Por defecto al 80 si se trata de web.

Que puerto es?: Recurrid a la memoria o bien 'grep ftp /etc/services'.]

Fijate que entre b y c hay dos puntos, que entre c y d una arroba , y entre

d y e otros dos puntos.

Que yo sepa solo se pueden bajar archivos y no se pueden subir, pero bueno

para eso consigue un programa de ftp. Que esto es un poco en plan chapuza

para emergencias.

HTTP:

Esto tambien es muy util para entrar en las paginas http que te piden password.

Por ejemplo yo tengo una cuenta en www.globalaudit.com, y cada vez que quiero

conectarme a la pagina de estadisticas debo introducir mi pass y mi login.

Pues en vez de hacer eso cada vez, pongo:

http://juanjo99:superpass@www.globalaudit.com/users/perico2/

Y luego lo a~ades en los bookmarks y es como una web mas. Cuidado con esto

porque todo el que mire en vuestros bookmarks conocera directamente vuestro

pass y login.

[ Nota de Falken: No es preciso indicar la clave. Al intentar acceder

a la pagina y ver que requiere autorizacion, sacara una ventanita

de esas tan monas para introducir la clave y que muestra asteriscos

en pantalla. Que potito. ]

ABOUT:

About es una cosa interna de los navegadores (por lo menos de los netscape)

y que hace cosas muy curiosas, no se si utiles.

Poner lo siguiente en la linea de URL del navegador:

about:mozilla -> una rayada de los programadores.

about:cache -> para ver lo que hay en la cache de disco. Tiene su utilidad.

about:license -> para que te salga la licencia del navegador.

about:plugins -> para saber los plugins que hay instalados.

about:logo -> te sale el logotipo de netscape

[ Nota de Falken: Tambien puedes probar con:

about:image-cache

about:memory-cache

about:global

Hay algunos mas que son enlaces a paginas dentro de Netscape que

guardan algunas sorpresas. En este articulo, aunque no lo

parezca, teneis material de sobra para averiguarlos por vosotros

mismos. Aqui va un adelanto:

about:jwz

about:jeff

about:mlm

(...)

Otras curiosidades son:

Ctrl+Alt+S -> Elimina la barra de estado.

Ctrl+Alt+T -> Informa sobre las conexiones activas. ]

Si te quieres rayar pon about: <h1> Hola <h1> y te das cuenta de que sale

hola en tama~o html h1. Pues si tienes paciencia te puedes currar un link

que sea una pagina html. Por ejemplo...(todo seguido)

about:<HEAD><TITLE>Maikel link page</TITLE> <BODY bgcolor="#800000"

text="#FFFFFF"></head> <body><I> <CENTER><br><p><center><h1> Super pagina

en forma de LINK </h1> <br> <h2> Maikel </h2> </center> </i></body>.

Bueno esto es todo, hay mas servicios que desconozco, no se si se puede

acceder a cuentas mail por el navegador o cosas asi. Esto es todo amigos.

Maikel martes 8 de junio de 1999.

--------------------------------------------------------------------------------

A N E X O III - A P A R T A D O L E G A L

--------------------------------------------------------------------------------

Quizas uno de los aspectos al que menos importancia solemos darle cuando

se habla de modificacion de archivos es el aspecto legal.

Pues bien, de lo que se ha comentado aqui tan solo hay un apartado que roza

lo ilegal, y es por lo absurdo de algunas leyes.

Se trata de la modificacion de un fichero ejecutable, aunque sea para uso

personal.

Resulta que esta terminantemente prohibido modificar los contenidos de un

fichero binario sin autorizacion expresa de su autor, por mucho que hayamos

pagado la dichosita licencia.

Vamos, como si fuera delito realizar una anotacion en los margenes de un libro

aunque lo hayamos comprado, porque hay que garantizar integridad del copyright.

Y es mas, leeros la licencia de Microsoft sobre la modificacion de los archivos

que distribuyen con sus aplicaciones. Parecen sacadas de un cuento de terror.

En definitiva, que modificar los binarios de un programa, a no ser que este

expresamente permitido, esta implicitamente prohibido por ley.

Nada mas queria dejar claro eso. Que nadie va a ir casa por casa mirando si

habeis modificado el texto del menu inicio de vuestro Windows, e incluso si lo

vieran no creo que emprendieran acciones legales. Seria ridiculo. Pero que

sepais que hay un papel por ahi que dice que eso es delito.

Os habia dicho ya lo que me encanta el proyecto GNU? ;-)

LOS RECURSOS COMPARTIDOS

Muchas personas tienen una red local de Windows y comparten recursos en ella, sin molestarse en poner contraseñas a esos recursos.
Pues bien, existe una forma bastante sencilla por la cual es posible conectarse a esos terminales a través de internet.
No se trata de un fallo del sistema operativo, si no de una negligencia de los usuarios que se conectan a internet compartiendo recursos, ignorando que sus datos pueden ser vistos y manipulados por otros.

Configuración de nuestro propio W

Antes de nada, si queremos entrar en otro Windows que comparta recursos tendremos que tener bien configurado el nuestro. Esto es lo que debemos tener:

Debemos tener activadas las opciones "compartir ficheros e impresoras", en MiPC->Panel de Control->Red. Si el botón está desactivado pulsamos AÑADIR y añadimos el servicio "Compartir ficheros e impresoras en redes Microsoft"
En la misma ventana de antes, debemos tener el "Primer inicio de sesión" en "cliente para redes Microsoft"
Debemos tener también el "cliente para redes Microsoft", aunque viene por defecto
En MiPC->Acceso telefónico a redes->Conexión a iNet que usaremos->boton derecho->propiedades debe estar activada la casilla "conectarse a la red"

Vamos allá

Ahora que ya tenemos configurado el sistema, los pasos a seguir son muy sencillos.

Obtener el nombre de la máquina

Usamos el comando NBTSTAT -A IP (la 'A' es mayúscula), por ejemplo:

C:\WINDOWS\>nbtstat -A 195.76.225.174

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
LAMERMACHINE <00> UNIQUE Registered
LAMERGROUP <00> GROUP Registered
LAMERMACHINE <03> UNIQUE Registered
LAMERMACHINE <20> UNIQUE Registered
LAMERGROUP <1E> GROUP Registered

MAC Address = 44-45-53-54-00-00

El nombre de la máquina es el primer 'UNIQUE' de tipo <00>, en este caso 'LAMERMACHINE' :D

EDITAR EL LMHOSTS

Ahora creamos/editamos el archivo LMHOSTS poniendo la dirección IP y el nombre de la maquina. Siguiendo con el ejemplo:

C:\> EDIT C:\WINDOWS\LMHOSTS

LAMERMACHINE

VER QUE RECURSOS COMPARTE

Lo sabemos con el comando NET VIEW, por ejemplo:

C:\WINDOWS>net view \\lamermachine

Shared resources at \\LAMERMACHINE

Sharename Type Comment
-----------------------------------------
MISTXT Disk

Vemos que comparte una carpeta llamada 'MisTxt'

PODEMOS ENTRAR ¿COMO HACEMOS?

Ahora podemos operar exactamente igual que si se tratase de un terminal en nuestra propia red local de Windows 95; No es objeto de este DOC mostrar el manejo de las redes locales de Windows, pero voy a apuntar alguna posibilidad:

Para mostrar el contenido de la carpeta compartida, simplemente

DIR \\LAMERMACHINE\MISTXT

Para leer un fichero de esa carpeta, obviamente:

TYPE \\LAMERMACHINE\MISTXT\CARTANOVIA.TXT

Y así sucesivamente con cualquier comando. También podemos conectar ese recursos compartido a unidad de red, y ver el ordenador remoto en Windows de forma gráfica como si se tratase de nuestro propio disco duro.
En este sentido , también podemos pulsar INICIO > BUSCAR PC para ver el contenido del PC remoto y manejarlo usualmente.

MAQUINAS "HACKEABLES"

Para que este método funcione la maquina remota ha de ejecutar Windows 95 o Windows 3.11, y compartir carpetas sin contraseña en el modo "Acceso a nivel compartido" (MiPc -> Panel de control -> Red | Control de acceso), ya que si utiliza el "Acceso a nivel de usuario" nuestro grupo debe estar autorizado en esa máquina (tambien podemos intentar cambiar el grupo de nuestra maquina al que sale en NBTSTAT para que nos autorice, esto lo hacemos con el REGEDIT)
Los sistemas WINDOWS 95 - OSR2 que estén ejecutando el Servidor Web Personal de Microsoft desactivan esta posibilidad de acceso remoto tras informar de la conveniencia de hacerlo al usuario (debido a que el servidor web obliga a compartir carpetas aun sin tener red local).

NOS PILLAN O NO NOS PILLAN

Es difícil que un usuario que haya tenido el "despiste" de conectarse a Internet con carpetas compartidas tome luego medidas de control sobre quien entra en su maquina.
No obstante, esto es fácilmente posible ejecutando NETWATCH, desde el cual podemos ver que usuarios están en nuestra maquina en cada momento y el NOMBRE DE SUS PCs por lo que recomiendo inmediatamente usar el REGEDIT para cambiar el nombre de nuestra propia maquina.
Por ejemplo si nuestra maquina se llama "MANUEL FERNANDEZ" pues cogemos el regedit y cambiamos todas las cadenas donde aparece ese texto (usa buscar!!) por otra menos cantante como "xxxxx" o "sinnombre".
Esto se hace muy recomendable en todos los sentidos en cuanto a que fácilmente alguien puede saber como nos llamamos si hemos tenido el desliz de poner nuestro nombre a la maquina ;)

De todas formas el NETWATCH solo informa cuando un usuario externo ha conectado un recurso a su propia maquina, así que mientras no conectemos ningún recurso a unidad de red podemos fisgar con *relativa* tranquilidad, si no armamos mucho cante el "objetivo" no tiene porque enterarse.

Por cierto que si hemos conectado un recurso a unidad de red y en ese momento "la víctima" quiere apagar el ordenador, le saldrá un mensaje del tipo "hay otros usuarios conectados a su ordenador, si lo apaga ahora se desconectaran"…¡¡imagínate el mosqueo!! :D

QUEDA UN LARGO CAMINO POR ANDAR

Esto hasta aquí funciona y ha sido probado ya numerosas veces con éxito. Puede ser un método como otro cualquiera para hacerse con alguna que otra contraseña si el usuario tiene acceso a otros "hosts mas gordos", eso la imaginación de cada uno.
Pero quedan asuntos pendientes, por ejemplo ¿como pasar a las carpetas no compartidas?. Ese punto ni tan siquiera esta claro que sea técnicamente posible, al menos directamente, aunque siempre queda la posibilidad de instalar troyanos (que difícilmente serán ejecutados por un usuario medianamente avispado).
Y, ¿como entrar a las carpetas que tienen contraseña? Tampoco hay ni zorra idea si no tenemos acceso a los ficheros *.pwl.
El principal problema es que Windows no permite ejecutar remotamente, es decir si hacemos click en un programa este será transferido a nuestra maquina y ejecutado localmente, por lo que cualquier intento tipo "exploit" de Unix está descartado, a no ser que SI exista la posibilidad de ejecutar de forma remota. Yo desde luego, la desconozco.

VOLVER

GratisWeb Version 1.0 - Tu página web gratuita

SOBRE LOS DEFECTOS DE SEGURIDAD EN GÜINDOS 95

Galahad vuelve al ataque para comentar algunos de los -extrepitosos-
fallos de seguridad en güindos 95. La compañía del B. Puertas no anda
muy fina últimamente en lo que a programación se refiere, y han dejado
un par de puertas abiertas que nosotros, como buenos hackers, podemos
(y vamos) a aprovechar. He aquí una lista:

* Sobre como pasar de las ventanas de los passwords.

- Bien . . . güindos es un sistema que intenta ser seguro contra cuelgues,
por lo que pulsando CTRL+AlT+SUPR nos invita a cerrar cualquier ventana
que no esté funcionando correctamente. Una pregunta: ¿habéis probado a
hacerlo con las ventanas que os piden un password?

- Otra posibilidad del güindos 95 es cerrar rápidamente una ventana pulsando
sobre el botón "X" en la barra de título. Pues eso, ¿Qué os inpide cerrar
una ventana de password?

* Acceder al DOS

Güindos 95 realmente no es un sistema operativo. Trabaja sobre el 2, que
sí lo es, pero que no proporciona ninguna seguridad: ej. tu simpático
vecinito de cinco años puede formatearte el disco duro y 2 no se lo impedirá.
Sin embargo, en güindos el sistema comprueba siempre las restricciones
aplicadas a los usuarios por el administrador. ¿Qué quiere decir esto? Que
si tienes acceso al DOS, el ordenador es tuyo.
Pero ahora se plantea un problema:
Muchos administradores de sistemas "prohiben" la entrada en 2 de sus usuarios.
¿Cómo entrar entonces? Elije la forma que prefieras:

- A través del menú ejecutar: Imposible! Ningún administrador es tan tonto.
De todas maneras, prueba. Pulsa sobre Inicio|Ejecutar, escribe "Command"
(sin comillas) y pulsa enter. Si consigues el milagro, puedes ponerle una
vela a Santa Gema.

- A traves de la ayuda: Con un editor de textos hexadecimal como WordPad
(no el bloc de notas) abre el archivo "COMMAND.COM" ves a la opción
"Guardar como..." normalmente en el menú "Archivo" y guárdalo, en el
directorio dónde esté instalado Güindos 95, con el nombre de
"WINHLP32.EXE". Ahora, cada vez que pulses la tecla F1, tendrás un prompt
del DOS para ti sólo :)

- Saltándote el inicio de Güindos al encender el sistema.
Pulsando F8 cuando aparece el mensaje "Iniciando Güindos 95" y
seleccionando después "Sólo símbolo de MS-2" accederás al 2. Un método no
muy bueno, pues muchos administradores desactivan el teclado en el inicio
del güindos.

- A través de la pantalla "Ahora puede apagar el equipo"
Lo que sucede realmente al apagar el sistema es que Güindos se descarga
de memoria y presenta el famoso dibujito en la pantalla. Pero he aquí lo
importante: Nos deja sobre MS-2. Prueba a escribir "CLS". La pantalla
se borrará y aparecerá el prompt del 2, en un modo gráfico un tanto
peculiar. Para ver el prompt en modo de texto, escribe "MODE 80".
¡Podrás utilizar el 2 sim problemas! ¡Tú acción no se registrará en los
logs del administrador! Un chollo, compadre.

VOLVER

GratisWeb Version 1.0 - Tu página web gratuita