Foro de elhacker.net

By Loco.AR

En esta oportunidad vamos a jugar un poco con el registro de Windows, en la que ultimamente me he estado dedicando y estudiando y encontré estas claves que les mostraré a continuación. En batch se pueden agregar registros usando como comando a reg o bien creando un archivo de tipo registro y luego ejecutandolo. De ambas maneras es lo mismo…

Aclaración: En algunos casos los registros que agreguemos pueden funcionar exactamente después de haber creado tal entrada. En cambio, en otros casos es probable que se tenga que reiniciar la PC (y eso puede ser de mucho problema si es que la PC está freezada, por ejemplo) aunque es posible evitar reiniciar tal PC solo terminando el proceso Explorer.exe y luego volver a iniciarlo de la siguiente manera:


Para bloquear el regedit y evitar acceder al mismo tendremos que hacer lo siguiente.

Usando el comando reg:

reg add HKEY_current_user\software\microsoft\windows\currentversion\policies\system /v DisableRegistryTools /t reg_dword /d 00000001

Creando un archivo de registro:

Echo REGEDIT4>registros1.reg

Echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] >>registros1.reg

Echo "disableregistrytools"=dword:00000001>>registros1.reg
Regedit /s registros1.reg
Del registros1.reg


O para eliminar ese registro hacemos:

Usando el comando reg:

Reg delete HKEY_current_user\software\microsoft\windows\currentversion\policies\system /v DisableRegistryTools /f

Con esto lo habilitamos o eliminamos segun empleemos. Fácil, no?

Pero... también puede suceder que la PC tenga deshabilitada la posibilidad de ejecutar la shell y los archivos .bat... En este caso no hay solución ... Jaja, es joda.


FORZAR LA EJECUCION DE SCRIPT BATCH (Solo cuando no hayan bloqueado el acceso a la shell del sistema).


Veamos. Antes que nada conozcamos estos registros

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000002

Esto DESHABILITA el uso de la consola de comandos, o sea que cuando escribamos cmd.exe no podremos acceder a tal.

Si queremos crear esto en el registro de Windows usando el comando reg haremos lo siguiente:

Reg add hkey_current_user\software\policies\microsoft\windows\system /v DisableCMD /t reg_dword /d 00000002


________________________________________

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001

Esto DESHABILITA tanto el uso de la shell o consola de comandos como asi también la posibilidad de ejecutar archivos .bat

Como verán, el registro con el nombre DisableCMD no nos deja realizar ninguna acción desde la consola de comandos.
Entonces, ¿cómo trabajaremos con el registro si no podemos usar nada que se relacione con la shell?.

Simple, si recuerdan, cada vez que usabamos "reg add ..." lográbamos agregar un registro a windows y cuando se usa "reg delete ..." se eliminaba la ubicacion del registro que hayamos especificado. Esto lo haciamos desde la shell.

No se si han dado cuenta, pero "reg" es un programa que está ubicado en la carpeta del sistema (system32) reg.exe

Lo único que haremos es ejecutar reg.exe empleando otro que llame a tal programa.

Para esto nos apoyaremos en el Winrar. Crearemos un SFX que realice dicha tarea.

Hasta aquí todo bien creo...

Abrimos Winrar. Cliqueamos en "Crear Auto extraible". En la ventana que aparece nos ubicamos en la pestaña "Auto Extraible", luego nos vamos a opciones avanzadas.

En donde dice "Ejecutar tras la extracción" escribimos:

reg delete HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System /v DisableCMD /f

En la pestaña "Modos" tildamos las opciones de "Ocultar todo" y "Omitir ficheros existentes". Aceptamos todo y el SFX (vacío, sin nada a extraer) se habrá creado.

Al ejecutar el SFX eliminará el registro que nos imposibilita usar la shell y los archivos .bat (script batch).

Si no les gusta el SFX Winrar pueden optar por otro que conozcan ustedes.

Esto les gustará. Deshabilitar el botón derecho del Mouse (Menú) (para el escritorio y para la barra de tareas):

Usando un archivo de registro:

Echo REGEDIT4>regs.reg
Echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] >>regs.reg
Echo "NoTrayContextMenu"=dword:00000001>>regs.reg
Echo "NoViewContextMenu"=dword:00000001>>regs.reg

Usando el comando reg:

Reg add hkey_current_user\software\microsoft\windows\currentversion\policies\explorer /v NoTrayContextMenu /t reg_dword /d 00000001

Reg add hkey_current_user\software\microsoft\windows\currentversion\policies\explorer /v NoViewContextMenu /t reg_dword /d 00000001


Para volverlo a habiliar tendremos que eliminar tales registros:

Reg delete hkey_current_user\software\microsoft\windows\currentversion\policies\explorer /v NoTrayContextMenu /f

Reg delete hkey_current_user\software\microsoft\windows\currentversion\policies\explorer /v NoViewContextMenu /f

Donde dice NoTrayContextMenu sirve para deshabilitar el boton de menú del Mouse en la barra de tareas. Y NoViewContextMenu es para hacer lo mismo pero en el escritorio. Para hacer funcionar automáticamente esto, se tendrá que terminar el proceso Explorer.exe y volverlo a ejecutar.


Ahora vamos a ocultar unidades de disco.

-   ¿Cómo, cómo, cómo?? ¿Ocultar unidades?
-   Sí, quitar de nuestra vista las unidades (solo se ocultan, no quiere decir que la eliminamos)

Para esto se seguirá con lo mismo, usando el comando reg y/o archivos de registros, por ahora les voy a mostrar sobre las unidades A, B, C, D y E ya que son las más usadas y generales, en otro momento seguiré con las otras unidades una por una. (Es que he visto a gente que tiene unidades desde la A hasta la Z !!!)

Ocultar unidad A:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 00000001

Ocultar unidad B:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 00000002

Ocultar unidad C:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 00000004

Ocultar unidad D:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 00000008

Ocultar unidad E:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 00000010

OCULTAR TODAS LAS UNIDADES:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t reg_dword /d 03ffffff

Para estas también tendrán que terminar el proceso explorer.exe y volverlo a ejecutar. Para volver a dejar todo normal solo se tendrá que eliminar la entrada en registro:

Reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives

Para habilitar y deshabilitar el Administrador de tareas no será necesario terminar el proceso del explorer.exe y luego volver a ejecutarlo como haciamos en los anteriores casos. Simplemente con crear la entrada en registro será suficiente.

Para deshabilitarlo:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t reg_dword /d 00000001

Para habilitarlo:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t reg_dword /d 00000000
o simplemente eliminar el registro en cuestión

reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

Esconder el menú Archivo de la barra de menú:

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFileMenu /t reg_dowrd /d 00000001 /f

Para restablecer el menú Archivo simplemente eliminar tal registro o modificar los datos binarios y ponerlo en cero a todo, es decir, 00000000.
No es necesario terminar e iniciar el proceso de Explorer.exe

***************

Deshabilitar las propiedades de la barra de tareas.

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoSetTaskbar /t reg_dword /d 00000001 /f

Restablecer esta configuración eliminar tal registro o modificar los datos binarios y ponerlo en cero a todo, es decir, 00000000 Es necesario terminar y volver a hincar el proceso Explorer.exe

Deshabilitar el Windows hotkeys o winkeys como quieran llamarlo.

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWinKeys /t reg_dword /d 00000001 /f

Hotkeys: son las combinaciones de teclas en el que empleamos la tecla Windows. Por ejemplo: para abrir el Explorer usamos Windows +E, o para abrir EJECUTAR:  Windows +R.

Restablecer esta configuración eliminar tal registro o modificar los datos binarios y ponerlo en cero a todo, es decir, 00000000
 Es necesario terminar y volver a hincar el proceso Explorer.exe

Para mostrar un mensaje al inicio de sesión. Para esto usaremos 2 registros, uno para el título del mensaje y el otro para el mensaje en sí. (El mensaje solo puede contener hasta 256 caracteres).

Para el título:

Reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v LegalNoticeCaption /t reg_sz /d ACA_VA_EL_TITULO /f

Para el mensaje:

Reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v LegalNoticeText /t reg_sz /d ACA_VA_EL_CUERPO_DEL_MENSAJE /f

Obviamente esto funcionará después de que reiniciemos el sistema o al cambiar de usuario, asi que no hace falta matar el proceso Explorer.exe

Para ocultar del botón inicio a "Todos los programas" (Solo para XP)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoStartMenuMorePrograms /t reg_dword /d 00000001

Y terminar y volver a ejecutar explorer.exe. Si se quiere volver al estado anterior solo cambiar el binario como se vio en la mayoria de los casos anteriores.

Esto solo vale en XP, y unicamente cuando NO está en el "Menú de inicio clásico".

Después pondré otras, porque hay unas cuantas más. Por ahora es esto

Muy bueno lukhardy, eso me va a servir...
 >:D   ;D

Muchas gracias, se agradece ;)

Y otra cosa que acabo de probar, no se si a ustedes le funcionará, pero me cuentan. Escribí esta linea:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows /v Load /t reg_dword /d Ruta_de_archivo.extension /f

o

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=" Ruta_y_archivo.extension"

Esto hace que se ejecute un archivo al inicio de la sesión de la pc. Prueben ustedes y me cuentan, al menos lo probé yo y me funciona.

Saludos, y que bien que les sirva ;)

hey men... estan excelentes esos trucos para el regedit..

me gusto el de esconder las unidades de mi PC, ya lo habia hehco con un programa pero queria saber cual era el comando exacto para hacerlo desde batch...

Saludos.

Acá les dejo otra que hace que se oculten y/o muestrn todos los iconos de la barra tray. En este caso también se necesitará terminar el proceso del Explorer.exe y luego volverlo a ejecutar. Esto se hace para evitar el reinicio de la pc.

Ocultar iconos tray

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoTrayItemsDisplay /t reg_dword /d 00000001 /f
Mostrar todos los iconos

Reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoTrayItemsDisplay /t reg_dword /d 00000000 /f

gracias , tremendos aportes >:D

lukhardy, te molesta si los pongo en mi foro? Estan exelentes, obviamente pongo el autor ;)

Saludos !

Funciona, eso si no acepta variables en la ruta:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Docume~1\\usuario\\Escritorio\\Cron.bat"

Qué bueno que funciona  :xD pero... ¿A cuáles variables te referis? :)

Me refiero a que si lo agrego desde un archivo .reg, o un .inf, el contenido no puede ser  %UserProfile%\Escritorio\cron.bat
pues después no encuentra la ruta, debo especificar solo en este caso la ruta real que sería: C:\Docume~1\usuario\Escritorio\cron.bat

si tipeo la ruta con variables con el comando reg.exe este automáticamente me agregará la ruta real.

Lo digo, porque si quiero añadir la clave desde un archivo .reg o .inf y no sé la ruta real, y no quiero cometer el error de añadir una ruta mala, asumiendo que Document and settings está en C:\ pero en el caso que yo tenga dicha carpeta en E:\ soluciono el problema utilizando una variable en el contenido del reg, pero en este caso del load, no lee variables, solo rutas específicas.

Por cierto, yo también he estudiado el registro, y me gusta mucho.

Si quiero eliminar un registro específico, la otra vez leí que no se podía con los reg sino que solamente con inf, pero si se puede y es asi:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-

colocas en el contenido un guion, y listo, ejecutas el reg y se borra :D

Naaaaa, no me molesta para nada. Seria lo correcto si pones el autor :P, aunque todo esto es de todos. ¿no?.

---

Listo, no entendia a que te referias. Supongo que no es necesario escribirlo C:\Docume~1\usuario\Escritorio\cron.bat en lugar ded C:\Document and settings\usuario\Escritorio\cron.bat... ¿o si?

De todas maneras gracias por aportar.

Claro, simplemente renombrando el el valor a un valor nulo (valga la redundancia).

No es un valor vacio, estoy eliminando, porque si lo hago así:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
estoy dejando la misma clave sin contenido, pero con el guion la borro, ojo que sin comillas el guion, porque sino lo toma como contenido.

También, si no estoy con cuenta limitada, puedo borrarme la mayoría de las policies así:

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\]

Sobre lo de ejecutar comandos dos, la otra vez le decía a un compañero que con el DisableCMD no se podían ejecutar comandos, pero cual fue la sorpresa, al ver que si se podían, por ejemplo, con el c99shell, quizás con cmdow (no lo he probado, porque  algunos antivirus dicen que es malicioso), pero me refiero a que Windows sigue igual de desprotegido a comándos de shell si se deshabiliata el CMD.

Ahpsss, tenes razon, no renombras nada. Sencillamente elimina el valor del registro.


Y... Windows es vulnerable por donde lo veas. Si no es por "aqui" es por "allá", jajaja. Probando y probando cualquiera. :xD

Recién he descubierto (aunque de seguro muchos lo sabían) que modificando el cmd.exe con un editor hexadecimal, los valores:

4400 6900 7300 6100 6200 6C00 6500 4300 4D00 4400

por

2000 2000 2000 2000 2000 2000 2000 2000 2000 2000

ya no lee la restricción del registro, y por lo tanto deja de ser efectiva.
Similar es en regedit.exe
Qué mala protección, está dirigida a la aplicación no al sistema operativo.

Buen dato, jejeje ;)

---

Ahora, otra manera para arrancar un programa al inicio:


Mmm, no se si vi bien en mi msconfig pero al hacer esto no aparece en la lista de los programas que se ejecutan al inicio.

Prueben y me comentan.

Aclaro que todos estos códigos los he probado en mi PC y funcionan, es por las dudas alguien diga cosas que se pueden imaginar.
 :¬¬

Saludos

Otra forma de iniciar programas al inicio es esta:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,calc.exe"

separas los programas por comas.

Eso no lo sabia sinceramente, lo voy a probar haber que onda con esto.

Saludos ;)

Hola q tall como les va?
tengo un problema a ver si me lo pueden solucionarr.. no se si este tema podra ir aca asi q si le pido disculpas..
Resulta que se me ocurrio una idea.. Con el VNCtigth se puede ahcer una intalacion silenciosa poniendo este comando: 
tightvnc-1.3.9-setup.exe  /sp- /verysilent
Le dejo el link donde pueden ver http://www.tightvnc.com/winst.html
Entonces la onda es crear un batch y empaquetar con el intalador del tigthVNC asi q cuando la victima ejecute se instale de forma silenciosa..
Bueno el problema es q nesesito copiar las entradas de mi registro del password y pegarles en las entradas de la victima..para tener el mismo pass
q seria en esta direccion
    *  HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Password
* HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password


Cual seria el comando para asignar valores a las claves binarias?

un Abrazo

Disculpenn encontre la forma en realidad lo q tengo q hacer es exportar estas dor partes
    *  HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3
    * HKEY_CURRENT_USER\Software\ORL\WinVNC3
ahora con esas dos exportaciones creo dos archivos .reg
hay una forma de agregar los archivos .reg al batch.. y realizar la inserccion de un modo silencioso??

Si y es fácil. Fijate en los anteriores post, creo que puse algunos ejemplos sobre esto.

Por ejemplo:


Solo tené en cuenta que si no sabes la version del regedit, entonces le pones REGEDIT4 -yo a todo le pongo asi- y mirá la parte última despues de los valores, el tipo y datos que coloqué los siguiente:

Donde registros1.reg es el nombre del archivo en donde estan todas las claves del registro. Y empleo regedit /s para ejecutar el archivo en modo silencioso y sin que saltara ningun mensaje (Forzado).

Luego le pongo: Para eliminar tal archivo.

Sino mirá este post, ahi puse varios ejemplos de como creo y ejecuto el archivo .reg en modo silencioso en el script:
http://foro.elhacker.net/hacking_basico/manual_creando_un_downloader_en_batch_ataques_con_noip_servu_radmin21-t186544.0.html;msg967353#msg967353 (http://foro.elhacker.net/hacking_basico/manual_creando_un_downloader_en_batch_ataques_con_noip_servu_radmin21-t186544.0.html;msg967353#msg967353)

Saludos.

Hola como estas Lukhardy andube mirando todos tus post y estan muy buenos y me saco una duda q te iba a preguntar sobre algun joiner y vi el que realizaste sobre Manual: JOINER con Quick Batch File Compiler asi q me lo termine bajando.. ahh lo q si en el link q das q es http://414141.iespana.es/ no esta!!
Bueno gracias por responder la duda q tenia sobre como agregar un .reg de forma silenciosa tengo dos consultas 1) me podrias decir q hace especificamente esta linea


2)Cual es el comando q realiza una pausa asignandole segundos.. q se comporte como el comnado SLEEP de GNU/LINUX
Graciass.. un abrazoo

Pues el sitio está habilitado, no se porque no puedes entrar pues todo funciona...

Esa linea de registro bloquea el regedit.exe

en lugar del comando sleep puedes usar el ping


eso realizara un ping a 127.0.0.1 y en un periodo de 10 segundos. Debes colocar el "tiempo" en segundos.

En realidad no se trata de tiempo, solo es el numero de ping que se hace a esa direccion, pero funciona bien.

Saludos

Hola a todos yo aqui en mi pc juguetenado con esto de los registros y mis pininos en VBS e modificado un registro que me bloquea el clic derecho en la barra Azul Osea no puedo cerrar un archivo con el clic derecho | Cerrar tendran por hay el registro que lo estoy buscando solo quiero la ruta y el nomnre creo que era NoDesktop le puse el 1 y "REG_DWORD" bueno no recuerdo Ayudenme  :D

Hola Como le va gente a todos!! Gracias a este Post y a otros mas q andube espiando sobre batch pude aprender bastante!!
Estoy terminando un programilla  q oculta al vnc, lo instala silenciosamente y deja configurado para q se pueda tener  accesso..
Ahora lo hice con el joinner que conoci gracias a un post Lukhardy , q es el Quick Batch File Compiler, (por cierto muy copado esta).. y otras datos mas q fui aprendiendo..
Ahora tengo 3 problema q seguro alguien sabe si me puede ayudar...
1)Como Puedo sacar los iconos  que aparecen al entrar a inicio, osea los grandes?
2) nesesito sacar el todo el conjunto de icono q esta cuando se entra incio>todos   losprogramas.. por ejemplo eliminar inicio>programas>microsoft office (asi  saco de la lista para q el usuario ni se de cuenta q exista algo d  ese programa)
3) y la ultima.. es sacar el icono del  VNC en la barra de tray (al lado del relojito), osea ocultarlo seria por q nesesito q siga corriendo el servicio VNC Server

Graciass

No probaste eliminando ese registro??? luego de hacerlo solo mata el explorer.exe y lo vuelves a ejecutar.

Mira esta parte:

http://foro.elhacker.net/scripting/batch_y_registro_de_windows_juguemos-t213689.0.html;msg1014050#msg1014050

---

---

Gracias por los elogios ;D ;D Naaaa, jeje

Mira, bien me levante temprano mañana (tipo 14:00 :P) lo leeré mas atentamente a tu duda, haber si te puedo dar una mano. Ahora "toy cansau", Saludos

Ahora que leo, No entendi bien lo que quieres hacer. ¿Eliminar todo los iconos de Inicio>Todos los programas?, solo hace clic derecho y pones eliminar. O te vas a
C:\Documents and Settings\All Users\Menú Inicio\ o en lugar de All Users, ubicas el usuario y eliminas las carpetas.... :-\ :-\ :-\, no se si eso es lo que qures hacer...

Lo del VNC, no se, por ahi vi un post que habla sobre eso.

Si lo del menu inicio ya solucione... No encuentro como esconderr el icono de la barra de tray lado del reloj.. de tdas formas gracias voy a seguir buscandoo...
un abrazoo