Resultados 1 al 10 de 10

Tema: Metodos de autoarranKe

  1. #1 Metodos de autoarranKe 
    Medio
    Fecha de ingreso
    Dec 2001
    Mensajes
    87
    Descargas
    0
    Uploads
    0
    Para los ke esteis haciendo algun backdoor o trojan supongo ke sera interesante.Un saludo para toda la gente de HH !!

    1. Autostart folder

    C:\windows\start menu\programs\startup {english}
    C:\windows\Menu Démarrer\Programmes\Démarrage {french}
    C:\windows\All Users\Menu Iniciar\Programas\Iniciar { Portuguese, Brasilian }


    This Autostart Directory is saved in :

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders]
    Startup="C:\windows\start menu\programs\startup"


    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders]
    Startup="C:\windows\start menu\programs\startup"


    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\explorer\User Shell Folders]
    "Common Startup"="C:\windows\start menu\programs\startup"


    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\explorer\Shell Folders]
    "Common Startup"="C:\windows\start menu\programs\startup"
    By setting it to anything other then C:\windows\start menu\programs\startup will lead to execution of ALL and EVERY executable inside set directory.

    Addendum : as of 10/03/2001 Subseven 2.2 now uses this method.


    2. Win.ini

    [windows]
    load=file.exe
    run=file.exe

    3. System.ini
    [boot]
    Shell=Explorer.exe file.exe
    4. c:\windows\winstart.bat
    'Note behaves like an usual BAT file. Used for copying deleting specific files. Autostarts everytime.

    5. Registry




    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
    "Whatever"="c:\runfolder\program.exe"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]
    "Whatever"="c:\runfolder\program.exe"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
    "Whatever"="c:\runfolder\program.exe"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]
    "Whatever"="c:\runfolder\program.exe"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx\000x]
    "RunMyApp"="||notepad.exe"
    The format is: "DllFileName|FunctionName|CommandLineArguement s" -or- "||command parameters"

    Microsoft Windows 98 Microsoft
    Windows 2000 Professional
    Microsoft Windows 2000 Server
    Microsoft Windows 2000 Advanced Server
    Microsoft Windows Millennium Edition

    http://support.microsoft.com/support.../Q232/5/09.ASP



    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
    "Whatever"="c:\runfolder\program.exe"

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce]
    "Whatever"="c:\runfolder\program.exe"





    6. c:\windows\wininit.ini
    'Often Used by Setup-Programs when the file exists it is run ONCE and then is deleted by windows
    Example content of wininit.ini :

    [Rename]
    NUL=c:\windows\picture.exe

    ' This example sends c:\windows\picture.exe to NUL, which means that it is being deleted. This requires no interactivity with the user and runs totaly stealth.

    7. Autoexec.bat
    Starts everytime at Dos Level.

    8. Registry Shell Spawning


    [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="%1" %*
    [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="%1" %*
    [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="%1" %*
    [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="%1" %* [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="%1" %*

    [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] @="%1" %*
    [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command] @="%1" %*
    [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command] @="%1" %*
    [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command] @= "%1" %*
    [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command] @="%1" %*

    The key should have a value of Value <"%1" %*>, if this is changed to <server.exe "%1 %*">, the server.exe is executed EVERYTIME an exe/pif/com/bat/hta is executed.

    Known as Unkown Starting Method and is currently used by Subseven.


    9. Icq Inet

    [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\test]
    "Path"="test.exe"
    "Startup"="c:\\test"
    "Parameters"=""
    "Enable"="Yes"

    [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\
    This key includes all the APPS which are executed IF ICQNET Detects an Internet Connection.

    10. Explorer start-up

    Windows 95,98,ME
    Explorer.exe ist started through a system.ini entry, the entry itself contains no path information so if c:\explorer.exe exist it will be started instead of c:\$winpath\explorer.exe.

    Windows NT/2000
    The Windows Shell is the familiar desktop that's used for interacting with Windows. During system startup, Windows NT 4.0 and Windows 2000 consult the "Shell" registry entry, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, to determine the name of the executable that should be loaded as the Shell.
    By default, this value specifies Explorer.exe.

    The problem has to do with the search order that occurs when system startup is in process. Whenever a registry entry specifies the name of a code module, but does it using a relative path, Windows initiates a search process to find the code. The search order is as follows:

    Search the current directory.
    If the code isn't found, search the directories specified in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Environment\Path, in the order in which they are specified.
    If the code isn't found, search the directories specified in HKEY_CURRENT_USER\Environment\Path, in the order in which they are specified.
    More info : http://www.microsoft.com/technet/sec...n/fq00-052.asp
    Patch : http://www.microsoft.com/technet/sup....asp?ID=269049
    General :
    If a trojan installs itself as c:\explorer no run keys or other start-up entries are needed. If c:\explorer.exe is a corrupted file the user will be locked out of the system. Affects all windows version as of today.


    10. Active-X Component
    HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName
    StubPath=C:\PathToFile\Filename.exe
    Believe it or not, this does start filename.exe BEFORE the shell and any other Program normaly started over the Run Keys.
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Dec 2001
    Ubicación
    BCN
    Mensajes
    469
    Descargas
    0
    Uploads
    0
    Un consejo pa los que hagan el BakDoor es uq no copien al tun tun. Los direcotios especiales de Winzorra (windows,system, menu inicio,...) se pueden obtener mediante llamadas a Apis.
    La resitencia es futil, todos sereis asimilados.
    NeoGenessis
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Nov 2001
    Ubicación
    Van Galia
    Mensajes
    434
    Descargas
    0
    Uploads
    0
    Lo interesante sería hacer uno nosotros...
    quien se apunta???

    ...:::I'm here from beneath Earth:::...
    Citar  
     

  4. #4 ...yo me apunto si la cosa es seria :) Laidea nosta nada mal 
    Iniciado
    Fecha de ingreso
    Dec 2001
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    me parece guais la idea d kurrarse un troyano..yostado un par de meses dandole al tema, intentando conseguir algo de minima calidad...por desgracia el resultado final esdevino un archivo SERVER de tamaño demasiado grande i un codigo lleno de fallos...
    La verdad es ke me gustaria currar de nuevo referente a este tema...mi unico prtoblema..estoy limitado a Visual Basic...pero gueno si sigues interessado angelyo solo tienes k pegarme el toke !!
    Venga a ver si alguien mas se apunta
    ..|SaRRo|..
    Citar  
     

  5. #5  
    Avanzado
    Fecha de ingreso
    Nov 2001
    Ubicación
    Van Galia
    Mensajes
    434
    Descargas
    0
    Uploads
    0
    Pues hace falta un admin de proyecto que divida el trabajo!!!

    ...:::I'm here from beneath Earth:::...
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Dec 2001
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    me parece eprfeco, te atreves tu? jejeje, supongo k lo tendras mas por mano. Como lo ves?
    ..|SaRRo|..
    Citar  
     

  7. #7  
    Avanzado
    Fecha de ingreso
    Nov 2001
    Ubicación
    Van Galia
    Mensajes
    434
    Descargas
    0
    Uploads
    0
    La verdad es qeu no tengo mucho tiempo libre...
    Sarro habla con algún moderador del foro!

    ...:::I'm here from beneath Earth:::...
    Citar  
     

  8. #8  
    Avanzado
    Fecha de ingreso
    Dec 2001
    Ubicación
    BCN
    Mensajes
    469
    Descargas
    0
    Uploads
    0
    Yo programo en Visual Basura (visual basic pa los demas) y estoy aprendiendo C pa Win32. Si puedo colaborar, aunque solo sea en buscar informacion avisar por mensajes privados.

    Almenos conseguire que mi nombre salga en los creditos de troyano, NO???
    La resitencia es futil, todos sereis asimilados.
    NeoGenessis
    Citar  
     

  9. #9  
    Medio
    Fecha de ingreso
    Dec 2001
    Mensajes
    87
    Descargas
    0
    Uploads
    0
    En ke lenguaje se hace... igual me apunto.
    Citar  
     

  10. #10  
    Avanzado
    Fecha de ingreso
    Nov 2001
    Ubicación
    Van Galia
    Mensajes
    434
    Descargas
    0
    Uploads
    0
    A mi no me importa el lenguaje.
    Yo podría dedicarle unos 10-15 minutitos al dia.
    Espero qeu alguien se apunte a echarse el proyecto a la espalda...

    ...:::I'm here from beneath Earth:::...
    Citar  
     

Temas similares

  1. Metodos de intrusion
    Por elcrack_0712 en el foro INTRUSION
    Respuestas: 12
    Último mensaje: 16-11-2008, 11:05
  2. Explicacion Grafica de los metodos de encriptacion.
    Por clarinetista en el foro GENERAL
    Respuestas: 1
    Último mensaje: 07-07-2008, 07:13
  3. saber los ultimos metodos de intrusion
    Por darkman_mlg en el foro INTRUSION
    Respuestas: 4
    Último mensaje: 05-02-2005, 08:29
  4. Metodos de Intrusion
    Por Ash en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 02-12-2004, 20:11
  5. metodos de acceso para un ftp fratuito
    Por gybrush en el foro INTRUSION
    Respuestas: 11
    Último mensaje: 06-01-2003, 12:40

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •