Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: 0x0309 en 12 Febrero 2009, 04:05 am


Título: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 12 Febrero 2009, 04:05 am
Esta es una Secuencia de comandos de Windows NT.
Sirve para proteger los pendrives, de los malwares que colocan archivos autorun.inf
Si les sirve o les gusta, por favor coméntenlo, y si les gustaría obtener el mismo resultado desde un programa, digánmelo y lo portaré a c.

Actualizado para quienes obtuvieron versiones anteriores.


Version 11:47 28-02-2009
Textos traducidos al inglés para mayor portabilidad.

Version 6:33 28-02-2009
Actualizado el código para ser compatible con Windows Vista, y proteger unidades con sistema de archivos FAT32 y NTFS.

Version 2:36 28-02-2009
Creación de archivo NUL en el supuesto caso que el sistema de archivos sea NTFS dónde la carpeta si es borrable por medios normales, aunque mi pendrive tiene sistema de archivos FAT32.

Version 1:44 28-02-2009
Unlocker 1.8 no puede borrar la carpeta, Gnu Linux tampoco puede.


Código:
@ECHO OFF
:: RDAP.CMD
:: REMOVABLE DRIVE AUTORUN PROTECTOR Version 11:47 28-02-2009
:: - EXCLUSIVE SCRIPT FOR ELHACKER.NET - ::
::
:: COMPATIBLE WITH WINDOWS 2000, XP, VISTA
::
:: SCRIPT THAT MAKE INDELIBLE FOLDER CALLED AUTORUN.INF IN REMOVABLE DISK.
:: USE WITH MEASURE DISABLE AUTORUN:
::
:: http://wiki.elhacker.net/seguridad/windows/autorun
::
:: MOST MALWARE CAN NOT CREATE A AUTORUN.INF FILE WITH THIS MEASURE.
:: THIS PREVENTED A SELF UNINTENTIONALLY IN COMPUTER THAT DOES NOT HAVE DISABLE AUTORUN.
::
:: AUTHOR: 0x0309
:: THANKS TO THE SUGGESTION OF Germaniac, berz3k, sirdarckcat.
::
TITLE REMOVABLE DRIVE AUTORUN PROTECTOR
SETLOCAL ENABLEEXTENSIONS
ECHO\Detecting removable drives . . .
SET "TXT=530054004F00520041"
REG QUERY HKLM\SYSTEM\MOUNTEDDEVICES | FIND "%TXT%" 9>NUL 1>&9 2>&1 || SET "TXT=550053004200530054"
FOR /F "DELIMS=\: TOKENS=0X3" %%^^ IN ('REG QUERY HKLM\SYSTEM\MOUNTEDDEVICES ^| FIND "%TXT%"') DO (
VOL %%^^: 8>NUL 1>&8 2>&1 && (
ECHO\Found removable drive %%^^:
IF EXIST %%^^:\AUTORUN.INF (DEL /F /Q /A %%^^:\AUTORUN.INF 7>NUL 1>&7 2>&1)
IF EXIST %%^^:\AUTORUN.INF (RD /Q /S \\?\%%^^:\AUTORUN.INF 6>NUL 1>&6 2>&1)
(MD \\?\%%^^:\AUTORUN.INF\...\) 5>NUL 1>&5 2>&1
(RD /Q /S \\?\%%^^:\AUTORUN.INF\...) 4>NUL 1>&4 2>&1
(CD.>\\?\%%^^:\AUTORUN.INF\NUL) 3>NUL 1>&3 2>&1
IF EXIST %%^^:\AUTORUN.INF (ECHO\The removable drive %%^^: was protected.)
)
)
(0>NUL SET /P %%=Press a key to quit . . . )
PAUSE >NUL
GOTO :EOF



Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Darioxhcx en 12 Febrero 2009, 05:28 am
esta bien el codigo al parecer
pero no seria mejor blokear la ejecucion del autorun ?

saludos

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Kobra5 en 13 Febrero 2009, 00:51 am
Orale!!

Muy bueno
voy a probarlo....

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Germaniac en 17 Febrero 2009, 19:44 pm
Buen script.
yo protejo mi usb asi, por ejemplo si es la unidad G

mkdir G:\AUTORUN.INF\
mkdir G:\AUTORUN.INF\....\
mkdir G:\AUTORUN.INF\....\CON\

y algo que vi en el code es que haces dir a la unidad pero si esta esta vacia no la protege, seria mejor usar el comando vol

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: berz3k en 24 Febrero 2009, 03:08 am
No va en windows vista :-/ , vere si puedo fixearlo con tiempo, en "teoria" a como veo el script deberia funcionar.

-berz3k.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 02:55 am
Cita de: Germaniac en 17 Febrero 2009, 19:44 pm
Buen script.
yo protejo mi usb así, por ejemplo si es la unidad G

mkdir G:\AUTORUN.INF\
mkdir G:\AUTORUN.INF\....\
mkdir G:\AUTORUN.INF\....\CON\

y algo que vi en el code es que haces dir a la unidad pero si esta esta vacia no la protege, seria mejor usar el comando vol


Hey Germaniac al principio me pasó desapercibido tu forma de proteger, y es mucho mejor que mi método, gracias, corregiré el script para implementar tu método, guau  :o

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 03:25 am
Gracias a la sugerencia de Germaniac he actualizado el script, y ahora quedó mucho mejor, aunque lo dejé para que no se vea ninguna carpeta dentro.

Nota: Lo probé con el Unlocker 1.8 y no pudo eliminar la carpeta. ;-)

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: [u]nsigned en 28 Febrero 2009, 03:46 am
Muchas gracias, yo tube un problema en un pen que cuando ingresaba a mi pc y le daba dblclk se me abria en una nueva ventana, para arreglarlo tube que borrar ese archivo. Lo hice desde mi Adrenalinux, para evitar que se cree de nuevo.

Este script sirve para XP tmb?

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 03:52 am
Cita de: [u]nsigned en 28 Febrero 2009, 03:46 am
Muchas gracias, yo tube un problema en un pen que cuando ingresaba a mi pc y le daba dblclk se me abria en una nueva ventana, para arreglarlo tube que borrar ese archivo. Lo hice desde mi Adrenalinux, para evitar que se cree de nuevo.

Este script sirve para XP tmb?

Pues, yo lo he probado solamente desde XP, y funciona.
¿En que versión de windows lo probaste?

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: [u]nsigned en 28 Febrero 2009, 03:54 am
2000

Nota: mis disculpas por el post tan corto, pero hay que ser conciso eh ir directo al grano en esta vida, no?  ;)

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 04:02 am
gracias,
actualizaré en breves momentos el script, porque he notado que es posible eliminarlo con unlocker, pero ya tengo la solución, para que quede totalmente imborrable, estoy realizando pruebas, en un par de minutos posteo la versión final.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: [u]nsigned en 28 Febrero 2009, 04:11 am
Perdon, me equiboque de link, y en ves de editar mi post anterior lo cite, que algun admin lo borre y sepa disculapar las molestias!  :-[

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 05:55 am
Listo, creo que la versión 1:44 28-02-2009 que acabo de publicar (modificar) en el primer post está bastante estable, por lo que la calificaría de versión final si se ejecuta en windows xp, falta testearla en windows vista.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 06:40 am
Nueva actualización en el caso de que se utilize sistema de archivos NTFS.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: sirdarckcat en 28 Febrero 2009, 10:12 am
en windows vista la deteccion de unidades removibles no funciona.. serviria una opcion que te da la opcion de poner unidades por si acaso..

esta es una unidad removible en vista:
Código:
    \DosDevices\E:    REG_BINARY    5F003F003F005F00550053004200530054004F005200
23004400690073006B002600560065006E005F00530061006D00730075006E006700260050007200
6F0064005F004D00690067006800740079005F004400720069007600650026005200650076005F00
50004D00410050002300300037003400380030004300390031003200370045004400260030002300
7B00350033006600350036003300300037002D0062003600620066002D0031003100640030002D00
39003400660032002D003000300061003000630039003100650066006200380062007D00

=/

Saludos!!

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: sirdarckcat en 28 Febrero 2009, 10:29 am
y esto:
Código:
(MD \\?\E:\AUTORUN.INF\...\)
(RD /Q /S \\?\E:\AUTORUN.INF\)
(CD.>\\?\E:\AUTORUN.INF\NUL)

no sirve, el RD si borra todo lo que debe borrar

mira:

Código:
E:\>(MD \\?\E:\AUTORUN.INF\...\)

E:\>(RD /Q /S \\?\E:\AUTORUN.INF\)

E:\>(CD.>\\?\E:\AUTORUN.INF\NUL)
The system cannot find the path specified.

aca:
Código:
E:\>(MD \\?\E:\AUTORUN.INF\...\)

E:\>cd AUTORUN.INF

E:\AUTORUN.INF>dir /a
 Volume in drive E is SDC
 Volume Serial Number is 94B4-6506

 Directory of E:\AUTORUN.INF

02/28/2009  03:27 AM    <DIR>          .
02/28/2009  03:27 AM    <DIR>          ..
02/28/2009  03:28 AM    <DIR>          ...
               0 File(s)              0 bytes
               3 Dir(s)       1,401,856 bytes free
E:\AUTORUN.INF>cd ..

E:\>(RD /Q /S \\?\E:\AUTORUN.INF\)

E:\>cd AUTORUN.INF
The system cannot find the path specified.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: sirdarckcat en 28 Febrero 2009, 10:39 am
ya sirve, perfecto.. aunque no quedaria mal un attrib +s +h jaja..

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 10:46 am
sirdarckcat, me di el trabajo de instalar windows vista, y corregí el script (tenía los problemas que mencionas), ahora corregido yo ya lo testié en vista y xp, y funciona, también probé con ntfs y fat32. Descubrí que en windows xp no puedo formatear mi pendrive con ntfs, pero desde vista si, y la curiosidad de la carpeta imborrable ocurre solo en fat32, y el script de todas formas "protege" la unidad.

Es curioso que al intentar borrar esta carpeta desde vista (sin sp1) el explorer "crash", pero en xp no, no se si con el sp1 en vista se arregla.

Ah, y sobre lo de dejar la carpeta oculta, prefiero que no, pues en el caso de que un malware en un caso lejano logre crear de alguna forma un autorun.inf, no se verá la carpeta, y uno ya echará de menos la carpeta, que indicará lo sucedido.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: sirdarckcat en 28 Febrero 2009, 11:05 am
Citar
Ah, y sobre lo de dejar la carpeta oculta, prefiero que no, pues en el caso de que un malware en un caso lejano logre crear de alguna forma un autorun.inf, no se verá la carpeta, y uno ya echará de menos la carpeta, que indicará lo sucedido.
ah, buen punto.. :)

pues vale, funciona todo bien. En Vista con SP1 no se crashea el explorer, pero tampoco borra la carpeta.

Saludos!!

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Karcrack en 28 Febrero 2009, 13:26 pm
Buen proyecto! ;D

Provado en Win XP SP3, con Unlocker 1.8.7 ;D

A ver si puedo y luego lo pruebo en Win7 ;)

Saludos ;-)

PD:Supongo que me tocara desprotegerlo desde Linux? :xD

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 28 Febrero 2009, 15:21 pm
si usas fat32, no se puede (hasta ahora), si es ntfs, si.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 1 Marzo 2009, 05:22 am
Portaré el script a C.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Karcrack en 1 Marzo 2009, 12:00 pm
Cita de: 0x0309 en  1 Marzo 2009, 05:22 am
Portaré el script a C.
Y eso porque? No esta mejor en .cmd?

Provado en Windows 7

Resultado1:El 'protector' Funciona perfectamente...
Resultado2:No puede eliminar la carpeta :laugh:

Funciona perfectamente ;-)


Saludos ;)

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: sirdarckcat en 1 Marzo 2009, 12:25 pm
desde linux (nautilus) se borra con shift+supr :xD
rm -rf iwal funciona bien

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Karcrack en 1 Marzo 2009, 13:00 pm
Cita de: sirdarckcat en  1 Marzo 2009, 12:25 pm
desde linux (nautilus) se borra con shift+supr :xD
rm -rf iwal funciona bien
Yo con Ubuntu hice lo mismo :xD SHIFT+SUPR y perfecto ;D!

Saludos ;)

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 1 Marzo 2009, 18:20 pm
ah gracias por avisar, hice más pruebas y ya encontré la forma de eliminar la carpeta sin formatear, pero no lo diré.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: Karcrack en 1 Marzo 2009, 20:20 pm
Cita de: 0x0309 en  1 Marzo 2009, 18:20 pm
ah gracias por avisar, hice más pruebas y ya encontré la forma de eliminar la carpeta sin formatear, pero no lo diré.

:¬¬ :¬¬ :xD :laugh:

Bueno, creo que se podria con esto... :rolleyes:
Código:
http://hackhound.org/forum/index.php?topic=7469.0
:P

Saludos ;D

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 1 Marzo 2009, 21:45 pm
pronto actualizaré el script para que no pueda ser borrado fácilmente.
puede ser borrado así:
Código:
... después que publique la modificación.

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: 0x0309 en 14 Marzo 2009, 16:47 pm
He creado otra versión del script, pero solo para ser ejecutada bajo Windows XP, y solo para unidades removibles con sistema de archivos fat32, la razón es que no se producen los mismos resultados al ejecutar el script bajo Windows XP y Windows Vista. Esta versión es más segura, una vez ejecutado en windows xp, la unidad removible con fat32, queda con una carpeta autorun.inf imborrable, por lo menos yo uso esta versión ahora:

Código:
@ECHO OFF
:: RDAP.CMD
:: REMOVABLE DRIVE AUTORUN PROTECTOR Version 12:44 14-03-2009
::
:: ONLY FOR RUN UNDER WINDOWS XP AND REMOVABLE DRIVE WITH FAT OR FAT32 FILESYSTEM.
::
:: AUTHOR: 0X0309
::
TITLE REMOVABLE DRIVE AUTORUN PROTECTOR
SETLOCAL ENABLEEXTENSIONS

VER | FIND /i " XP"  >NUL
IF ERRORLEVEL -1 IF ERRORLEVEL 1 (
ECHO. SCRIPT ONLY FOR WINDOWS XP.
GOTO END
)

ECHO\Detecting removable drives . . .
SET "TXT=530054004F00520041"
FOR /F "DELIMS=\: TOKENS=0X3" %%^^ IN ('REG QUERY HKLM\SYSTEM\MOUNTEDDEVICES ^| FIND "%TXT%"') DO (
VOL %%^^: 8>NUL 1>&8 2>&1 && (
ECHO\Found removable drive %%^^:
CHKDSK %%^^: 0>NUL 2>&0 | FIND " FAT" >NUL
IF ERRORLEVEL 0 IF NOT ERRORLEVEL 1 (
IF EXIST %%^^:\AUTORUN.INF (DEL /F /Q /A %%^^:\AUTORUN.INF 7>NUL 1>&7 2>&1)
IF EXIST %%^^:\AUTORUN.INF (RD /Q /S \\?\%%^^:\AUTORUN.INF 6>NUL 1>&6 2>&1)
(MD \\?\%%^^:\AUTORUN.INF\...\) 5>NUL 1>&5 2>&1
(RD /Q /S \\?\%%^^:\AUTORUN.INF\...) 4>NUL 1>&4 2>&1
(CD.>\\?\%%^^:\AUTORUN.INF\NUL) 3>NUL 1>&3 2>&1
(MD \\?\%%^^:\AUTORUN.INF\...\%RANDOM%\...\ 9>NUL 1>&9 2>&1)
IF EXIST %%^^:\AUTORUN.INF (ECHO\The removable drive %%^^: was protected.)
) ELSE (ECHO. %%^^: IS NOT WITH FILESYSTEM FAT OR FAT32.)
)
)

:END
(0>NUL SET /P %%=Press a key to quit . . . )
PAUSE >NUL
GOTO :EOF

Título: Re: REMOVABLE DRIVE AUTORUN PROTECTOR RDAP.CMD
Publicado por: javtatan en 3 Septiembre 2014, 21:38 pm
Hola utilice este codigo y funciona de maravilla, pero ahora  quiero quitar la carpeta y no puedo, como lo hago??? ¿como borrar la carpeta hay otro codigo para hacerlo? gracias. eñ motivo es que tengo unas carpetas ocultas y no las puedo reestablecer porque al ejecutar el comando attrib, llega a la carpeta autorun y no me deja hacer nada.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines