Tema destacado: Únete al Grupo Steam elhacker.NET
 Autor
|
Tema: cómo hackear un system file filter ? (Leído 1,142 veces)
|
Kokoro
 Desconectado
Mensajes: 6
|
Hola, hay varios programas de protección (ej: anti-executable) que usan un system file filter para evitar que el usuario ejecute programas no autorizados. Hay alguna forma de hackear esta protección?
|
|
|
|
|
En línea
|
|
|
|
Nosferatu
Desconectado
Mensajes: 226
Euskadi, bat eta askea!
|
Hola, seria mejor si la pregunta fuera un poco mas especifica, pero con lo que he entendido, la solucion seria finalizar el proceso Ejemplo en win32; net stop "Nombre del servicio" (eso es un unico ejemplo) En Unix, no lo se.. mediante net start solo salen comandos relacionados con "net"... Podrias hacer que ejecutara un batch. No estoy demasiado seguro, pero si lo que quieres es que winXP SP2 no de esos avisos, podrias hacer: @net stop "Notificación de sucesos del sistema" Y no dara ningun aviso de que ha parado, por que lo que has hecho es eso, detener las notificaciones  un saludo |
|
|
|
|
En línea
|
Triste zaudenean, triste zaudenean, pentsa esazu, zure lagun onenean
|
|
|
Kokoro
Desconectado
Mensajes: 6
|
Primero una corrección: no es system file filter sino file system filter.
Nosferatu:
Un system file filter es un driver, no un proceso. Es lo mismo que usan los antivirus para protección on the fly. Básicamente hace algo con los archivos antes de ejecutarlos, guardarlos, etc. Un antivirus lo escanea antes de ejecutarlo, otro programa podría usarse para cifrar información antes de guardar los archivos y así trabajar normalmente sin intervención del usuario.
Lo que hace este ejemplo (anti-executable) es comparar el archivo que el usuario quiere ejecutar con una basa de datos con los hash de los archivos autorizados. Si no lo encuentra no lo ejecuta. Esta base de datos está en un directorio protegido contra acceso. El programa usa un servicio con flags de seguridad alta para ejecutar un programa con contraseña que le permite al usuario desactivar el filtro. Matar estos procesos no interrumpe el filtro.
Ya tengo identificado el sys pero no puedo tocarlo porque está protegido contra acceso como no puedo ejecutar ningún programa especial para intentar algo.
El programa se desinstala ejecutando el instalador (un archivo). Pero el programa sólo te permite desinstalar si el filtro está desactivado. Con un debugger lo puedo interceptar el punto donde verifica si está desactivado y hacerle pensar que lo está; y así desinstalarlo. Pero la máquina donde quiero trabajarlo no tiene ningún debugger.
El instalador está empacado, así que si lo desempaco y lo modifico en otra máquina no funciona porque cambia el hash del instalador y ya no me permite ejecutarlo.
Parece un rompecabezas...
Alguna idea?
|
|
|
|
|
En línea
|
|
|
|
pepel
Desconectado
Mensajes: 1.099
Uno más
|
esto parece + hacking avanzado que basico xD Tendrias que haber posteado todo eso antes, nos hubieramos hecho una idea de lo que quieres  La verdad es que el sistema esta de p**a madre pensado. Lo unico que se me ocurre es intentar engañar al programa(cosa que veo dificil si no puedes ejecutar nada en la maquina) o crackear la base de datos que usa y añadir los hash de los exes que quieras usar(cosa que tb es complicada si no tienes permisos de administrador). Bufff, la verdad es que es complejo! Yo imagino que lo mejor es que indagues como esta instalado el filtro en el sistema (es un proceso corriendo? una entrada en el registro?) e intentes esquivarlo/matarlo/borrarlo de alguna manera... Igual lo que ha cambiado es el explorer.exe¿? saludos, pepel |
|
|
|
|
En línea
|
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos.
Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.
|
|
|
|
zhyzura
|
otra posible solucion seria borrar el archivo sys que ya tienes identificado, ¿como?, pues tendrias que tener un diskette de inicio de win98 y arrancar el pc desde alli, asi tendras acceso a todos los archivos del disco duro y no te pondra ningun pero para borrarlos. Yo imagino que lo mejor es que indagues como esta instalado el filtro en el sistema (es un proceso corriendo? una entrada en el registro?) esto estaria muy bien saberlo para despues editar la entrada del registro y evitar que se ejecute. lo mas dificil en este segundo caso seria pillar la contraseña del administrador, cosa que solo es cuestion de copiar la SAM y el archivo system(este segundo por si estan protegidos por syskey). |
|
|
|
|
En línea
|
|
|
|
Nosferatu
Desconectado
Mensajes: 226
Euskadi, bat eta askea!
|
Ok, perdon por la respuesta tonta y gracias por la aclaracion  Desde luego, es cierto que la informatica siempre tiene algo nuevo que decir un saludo |
|
|
|
|
En línea
|
Triste zaudenean, triste zaudenean, pentsa esazu, zure lagun onenean
|
|
|
Kokoro
Desconectado
Mensajes: 6
|
zhyzura:
Lo siento. Es windows XP y además no puedo bootear desde otro dispositivo, la configuración de inicio tiene password.
Otra cosa, tengo acceso a la cuenta de administrador. Sin embargo cuando quiero borrar el archivo sys, entrar al directorio con la base de datos o borrar las claves de registro que mencionan al filtro me tira un error de acceso denegano.
Lo bueno es que descubrí que borrando el sys se desactiva el filtro.
Una idea sería crear un archivo msi que es un script que corre el windows installer y ponerle un comando (típico en instaladores) que borre el archivo cuando arranca el sistema.
|
|
|
|
|
En línea
|
|
|
|
Kokoro
Desconectado
Mensajes: 6
|
Ya está; encontré un backdoor. El truco del msi no lo probé pero debería funcionar. Pero para eso tenía que reiniciar la máquina.
Con este backdoor lo puedo desactivar sin bootear, lo que me permite hackear la máquina aun teniendo Deep Freeze y Anti-Executable instalados.
Moraleja: siempre hay un modo.
Hora de la diversión...
|
|
|
|
|
En línea
|
|
|
|
pepel
Desconectado
Mensajes: 1.099
Uno más
|
no estaria mal que explicaras el que saludos, pepel P.D. y no te has divertido buscandolo??? |
|
|
|
|
En línea
|
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos.
Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.781
Toys in the attic.
|
Miren en mi colegio nos ponen en kda computadora un filtro de internet y uno para que no abramos cosas como el panel de control o el regedit. Bueno yo saq los dos pero ahora voy a hablar del anti-ejecutables. El tema es que se ejecuta con el inicio. Sería muy facil sakrlo desactivando la opcion del inicio y luego borrando la krpeta. pero el tema es que esta como shell en el system.ini. entonces hay q sacarlo del system.ini y del inicio y luego borrar la karpeta. Bueno Suert
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
|
 |
