 Autor
|
Tema: Se buscan betatesters: Killtrojan Syslog Beta (Leído 1,910 veces)
|
|
skapunky
|
Buenas, hace unos dias anuncié la idea de crear una aplicación parecida al hijackthis, tengo recopiladas varias ideas para ponerle pero antes me interesa que las que están puestas funcionen bien, ya que en algún ordenador ( el de Yatamas) no lee por ejemplo todas las claves del registro correctamente). Me gustaría que quin pueda probarlo lo haga y me comunique por aquí si han observado algún error por ejemplo al mostrar procesos o leer claves del registro de las aplicaciónes que se auto-inician. Descargar Killtrojan Syslog [BETA]
Modo de uso- Analizar --> Crea un registro en pantalla de los procesos, claves etc..analizados.
- Modo compatibilidad --> Este modo es para crear un log preparado para ser leido desde por ejemplo la pagina de análisis www.hijackthis.de
- Log --> Crea un archívo de texto con los resultados analizados.
- Incluir archivo hosts --> Añade una copia del archívo hosts de la máquina para poder ser analizado posteriormente.
Mejoras futuras- Log en formato html con colorínes. - Leera mas entradas del registro que faltan por añadir. - Y..algúnas cosillas más que estoy barajando PD: No sean impacientes por las cosas que faltan por añadir, iré añadiendolo poco a poco que tampoco tengo todo el tiempo del mundo. Muchas gracias por la colaboración. Sistemas donde a podído funcionar bien:windows vista 32 bits Windows 7 64 bits windows vista 64 bits
|
|
|
|
« Última modificación: 2 Abril 2010, 18:10 por skapunky »
|
En línea
|
|
|
|
rockernault
 Desconectado
Mensajes: 2.045
Linux User!!!
|
bien, has encontrado un betatester  testeando.... Edit 1: No es compatible con window manager de Windows 7, la ventanota se abre sin proporcion alguna, no tiene estetica la ventana... deberias hacerla algo mas pequeña, mas estilizada, ya sabes, mejor vista.. pero a fin de cuentas eso es lo de menos. Edit2: By HijackThis O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red') By Killtrojan ----------- Autorun OS Files ----------------------
C:\Windows\system32\hkcmd.exe
"C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
----------- Registry Keys -----------
HKLM\...\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
HKLM\...\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui Procesos corriendo en PC: System Idle Process
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
AvastSvc.exe
spoolsv.exe
svchost.exe
taskhost.exe
svchost.exe
NMSAccessU.exe
TuneUpUtilitiesService32.exe
hkcmd.exe
AvastUI.exe
TuneUpUtilitiesApp32.exe
svchost.exe
svchost.exe
svchost.exe
dwm.exe
wmpnetwk.exe
audiodg.exe
svchost.exe
explorer.exe
AppleMobileDeviceService.exe
mDNSResponder.exe
chrome.exe
iTunes.exe
chrome.exe
iPodService.exe
chrome.exe
WmiPrvSE.exe
Killtrojan Syslog.exe
WmiPrvSE.exe Buenisimo!!! By HJT Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Jorge Morales\Desktop\Killtrojan Syslog.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe Funciona correctamente el de Hosts... y me encanto lo de los procesos, muy bno..
|
|
|
|
« Última modificación: 17 Marzo 2010, 23:13 por rockernault »
|
En línea
|
|
|
|
|
portaro
|
Lo he probado. Me ha gustado tu proyecto, y no le encuentro fallos, quadra en los logs los auto-executables, y registry values keys. My sistema es windows vista 32 bits. Haqui va muy bien. Te doy animos y gracias por este trabajo.  |
|
|
|
|
En línea
|
|
|
|
|
skapunky
|
Edit 1: No es compatible con window manager de Windows 7, la ventanota se abre sin proporcion alguna, no tiene estetica la ventana... deberias hacerla algo mas pequeña, mas estilizada, ya sabes, mejor vista.. pero a fin de cuentas eso es lo de menos. Que problema hay? No lo he entendido, si me puedes poner una captura del problema gráfico... Yo tengo windows 7 y no he visto problema. A, en la comparación, de claves del registro, las que empiezan por "HKUS\S-1-5-19\..\" no las lee porque no lo he puesto. De hecho he de añadir muchas claves todavía del registro pero ya las pondré. Me alegro que lo otro funcionara correctamente PD: Que pocas claves de autoinicio tienes en HKLM no? solo ha encontrado 2  , en el pc de yatamas pasava lo mismo. Lo raro esque en otros que he probado no hay problema. Haber si más usuarios exponen sus resultados.
|
|
|
|
« Última modificación: 17 Marzo 2010, 23:46 por skapunky »
|
En línea
|
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
 ya ves que se pueden comparar 2 ventanas en Windows 7... bueno, no es compatible con esa funcion, y como mi pantalla es muy pequeña, ocupa casi toda la pantalla, sin opcion a minimizar y/o maximizar, o tan siquiera regularle el tamaño... a eso me refiero, deberias bajarle algunos pixeles al width <---> o hacer que se pueda hacer a gusto... me explico? Windows 7 RTM 32bits on Acer Aspire One 150
|
|
|
|
|
En línea
|
|
|
|
|
skapunky
|
ahh ya se que quieres decir, no se si eso dependera del programa o del win7, lo mirare. Por otra prte pensé en hacerlo mas pequeño, quizá cambio como se presenta la información para poder hacerlo mas estrecho, o otra solución es hacerlo sizeable pero con tanto elemento por enmedio es lioso de hacer.
|
|
|
|
|
En línea
|
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
hmm.. captaste la idea,  perfecto.. |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.132
Se siente observado ¬¬'
|
Que ganas tenia de meterle mano a esto  Como ya sabreis soy alguien maligno, y no solo voy a ver si funciona, sino formas de saltarmelo  (  )
Primero, respecto a la interfaz, para mi gusto tiene muchisimo que mejorar, pero bueno es la version requete-alfa Como no has puesto el codigo me ha tocado debuggearlo  No sabia que lo fueses a hacer en VB  Me ha gustado que para ganas compatibilidad hayas trabajado con nuestro amigo [y vecino] WMI Pero ya que lo usas podrias exprimirlo al maximo, añadir más informacion sobre el proceso (Se que es una requete-alfa ) No hay mucho mas que decir, ya que para saltarse al WMI hay que hacer muchas trampas Ah! Ya que usas WMI para enumerar las claves del registro porque no sigues usando StdRegProv en vez de usar Shell.RegRead? Saludos, buen proyecto |
|
|
|
|
En línea
|
|
|
|
|
skapunky
|
Para los procesos he utilizado el objeto WMI porque la parte de los procesos hace mucho tiempo que la tenia programada con WMI y no la iva a hacer de nuevo, el problema que tuve fue en enumerar las claves y al final lo he acabado hacíendo a base de script, pero bueno, al fin y al cabo es lo mismo. Quizá lo intente con WMI o buscaré información por si hay más opciónes. Lo de hacerlo más completo se hará, eso no hay problema Sobre la interfaz de momento no me he molestado demasiado, lo que quiero es que todo funcione bien. De hecho incluso el icono lo cambiare o modificare, eso si, almenos he puesto ese para no dar la BETA con el icono cutre del vb PD: He utilizado vb por la sencillez (en principio del proyecto) yo en lo que se programar bien es en delphi. |
|
|
|
« Última modificación: 18 Marzo 2010, 01:44 por skapunky »
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
en xp sp3 funciona bien. yo respecto a la forma de mostrar los datos te daria un consejo, personalmente descartartaria el modelo que has enfocado en esta version. imagina cuando pongas mas cosas quedara como un log muy largo. ¿no te pareceria mas ordenado mostrar por secciones desde un treview?. Procesos - - - - HKCU - - - HKLM - - - Es mas comodo de leer y a la vista queda mas ordenado. es una idea , en ningun momento critico tu trabajo . PD: en el tema del archivo hosts, lo que empieza por # es un comentario, realmente no aporta nada al analisis. podrias descartar los comentarios. |
|
|
|
« Última modificación: 18 Marzo 2010, 05:07 por ctlon »
|
En línea
|
|
|
|
|
skapunky
|
Lo del treeviwe se puede hacer, solo que al hacer el log se debería modificar, lo del archívo hosts tienes razón pero es algo complejo ya que no en todos los pc's el archivo hosts se muestra de la misma forma y si he de arreglar la forma de verlo prefiero que sea más adelante.
Por ejemplo mi archivo hosts tiene muchísimos comentarios y otros que he visto tienen dos o tres lineas de comentarios solamente.
|
|
|
|
|
En línea
|
|
|
|
rockernault
Desconectado
Mensajes: 2.045
Linux User!!!
|
El Ccleaner 2.27 muestra las mismas entradas del registro que el programa Killtrojan..
por lo tanto no es problema del programa, en el pc de Yatamas o en el mio.. no hay claves de registro
|
|
|
|
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
ola a todos
testeado win xp sp2
anda bien...
pero...
primero que nada estaria bueno que no lo hagas como un log entero si no que el programa use distintos modulos para cada parte del log...
luego para exportarlo haces un solo procedimiento que llame a los otros y listo
yo mas que nada pensando en lo de separar los datos que quede tipo el everest...
sobre que le falta...
keys:
hklm\system\control set x\services
bueno tendrias que leer los valores de:
imagepath ,start y name aunque si no tiene sacas un n/a
y luego keys de hklm\software\clasess...
otra cosa el boton de log estaria bueno que te pregunte donde guardarlo aunque no es complicado saber q lo guarda en la misma carpeta igual estaria bueno...
yo no programo en vb estoy aprendiendo c++ asique con la programacion no puedo ayudarte solo puedo darte consejos...
pero si nesesitas ayuda con las keys del registro o algo de eso no hay problema
tmb estaria buena otra info como los puertos en uso, los autorun.inf si hay que los mostrara y por ahora es lo que se me ocurre xdd
las keys las puedes sacar del programa autorunchk o algo asi se llama de sysinternals ya que realmente muestra todo lo que se autoejecuta
lo del archivo hosts...
si sabes manejar cadenas hace un while como que todo lo que empiese con #lo elimine...
luego estaria bueno mostrar los ultimos programas ejecutados
la key creo que era shell mru o algo asi esta en hklm\software\microsoft\windows\shell o en hkcu realmente no me acuerdo xd
bueno son solo ideas espero que alguna sea util en algo...
espero que anden bien
un abrazo!
|
|
|
|
|
En línea
|
|
|
|
|
 |
