Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: denik en 12 Junio 2009, 16:23 pm



Título: Consulta: variables de entorno en el registro de windows.
Publicado por: denik en 12 Junio 2009, 16:23 pm
Buenas, muchachos, soy nuevo en esto y estoy experimentando en troyanizar el vnc.

Mi consulta es la siguiente:

Necesito hacer una entrada en el registro para que winvnc.exe arranque al inicio de windows de la siguiente manera:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="C:\\Archivos de programa\\TightVNC\\WinVNC.exe"

Pero la duda que tengo es cómo puedo hacer para en la entrada del registro colocar una variable de entorno del estilo de "%systemroot%" en lugar de "C:\\Archivos de programa\", dado que lo intenté pero no funciona.

Les pido disculpas si la consulta no llega a estar en el subforo correspondiente y les agradezco de antemano.

Saludos!


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: Karcrack en 12 Junio 2009, 19:15 pm
Código:
%ProgramFiles%

Escribe en el Cmd.exe 'set' te saldrá una lista de variables de entorno ;)


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: denik en 13 Junio 2009, 17:47 pm
Así es, Karcrack, gracias por responder.  El tema es que conozco esa variable y también el comando SET de la consola.  Pero mi problema es que no puedo usarlas en la registry.  Tal vez sea un error mío querer utilizarlas en una entrada del registro.  Es posible esto?

Saludos.


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: Novlucker en 13 Junio 2009, 21:19 pm
La verdad no recuerdo exactamente, pero debería de funcionar, ambos métodos que estas probando  :-\
También puedes intentar hacerlo con un bat y el comando REG ADD a ver si funciona

Por otra parte, tienes privilegios de admin? porque quizás ahí este tu problema, ya que para poder escribir en HKEY_LOCAL_MACHINE debes de tener permisos, no así en HKEY_CURRENT_USER

Saludos


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: denik en 17 Junio 2009, 06:02 am
Sí, Novlucker, tengo privilegios de Admin...  El tema es que cuando lo escribo de la siguiente manera funciona bien...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="C:\\Archivos de programa\\TightVNC\\WinVNC.exe"

Pero si lo escribo así no funiona:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="%ProgramFiles%\\TightVNC\\WinVNC.exe"

Las líneas las tengo en un archivo .reg y lo llamo con regedit desde un .bat.

Gracias por tu ayuda.


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: Novlucker en 17 Junio 2009, 06:34 am
Entonces repito ... no lo hagas desde un reg, ingresa la clave directamente con el bat  :P

Saludos


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: denik en 17 Junio 2009, 07:32 am
En realidad primero había intentado hacerlo desde el .bat y no funcionaba por eso hice el .reg pero voy a probar ahora con el comando que me sugerís vos y te aviso.  Gracias por la ayuda.


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: denik en 19 Junio 2009, 17:32 pm
La verdad no recuerdo exactamente, pero debería de funcionar, ambos métodos que estas probando  :-\
También puedes intentar hacerlo con un bat y el comando REG ADD a ver si funciona

Por otra parte, tienes privilegios de admin? porque quizás ahí este tu problema, ya que para poder escribir en HKEY_LOCAL_MACHINE debes de tener permisos, no así en HKEY_CURRENT_USER

Saludos


Hola, Novlucker, gracias por tu ayuda.  Te cuento que por suerte pude solucionar el problema.  En realidad tanto el método que estaba utilizando yo (el archivo .reg) y el que vos me sugeriste (reg add) me dieron los mismos resultados:  si bien la entrada se estaba generando (con variable de entorno como yo necesitaba), al inicio de windows no se estaba ejecutando el archivo.  Y aparentemente esto sucedía porque el tipo de entrada de registro, en lugar de REG_SZ, debía ser REG_EXPAND_SZ (supongo que para que el sistema haga la "traducción" de la variable, o sea, expandirla).  

Una vez que vi que de esta forma funcionaba, en realidad, de los dos métodos me resultó más práctico el del .reg porque, al exportarla, vi que este tipo de variable no queda guardada en forma de texto natural, sino que queda en hexa, y me pareció más fácil trabajar con el .reg exportado... sólo por eso...  ;D

Bueno, gracias a todos otra vez por la ayuda y espero que esta info le sirva a alguien más.

Salutes!


Título: Re: Consulta: variables de entorno en el registro de windows.
Publicado por: PASQ1985 en 5 Diciembre 2013, 22:51 pm
mi amigo quisiera que me dijeras como solucionaste el error yo también estoy con el mismo problema pero no se como solucionarlo te paso el código para q lo evalúes

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
"JAVA_HOME"="<C:\Archivos de programa\Java\jre7>"

tambien le agregue el valor de tipo REG_EXPAND_SZ
supuestamente quedari asi
"JAVA_HOME"=hex(7):C:\Archivos de programa\Java\jre7

pero tampoco me funciona, agradeciese su ayuda