Imprimir Página - ¿Hay manera de mantener un programa al inicio aunque se formatee?

Título: ¿Hay manera de mantener un programa al inicio aunque se formatee?
Publicado por: extreme69 en 27 Junio 2011, 18:41 pm

El objetivo no es en realidad para un virus, sino para un programa que estoy haciendo en el que necesito que no importa si se formatea el equipo siempre se ejecute el programa al inicio de windows, en realidad ni windows necesito, con un cmd soy más que felíz.

No sé, pensaba en algo como el MBR del disco, o no sé... alguna idea o estoy divagando demasiado?

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: madpitbull_99 en 27 Junio 2011, 18:59 pm

No se puede, al menos que el malware resida en la BIOS.

En un post de este mismo subforo, se trata un tema similar: Se podria infectar una BIOS?. (http://foro.elhacker.net/empty-t314903.0.html)

Si se dispone de más de un disco local, por ejemplo uno para Datos (D) y otro para para el SO, dando por hecho que es Windows (C) y el malware reside en D,
no será borrado si solo se reinstala el Sistema Operativo (C), pero no se mantendría en el inicio.

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: [Zero] en 27 Junio 2011, 22:12 pm

Con un bootkit seguramente puedas hacer algo, puedes copiarte a la BIOS o a algún sitio de la tarjeta gráfica y residir ahí. En el MBR supongo que no porque windows pisa el MBR cada vez que se instala, pero tal vez se podría modificar la forma en que se instalará windows antes de que bootee el CD, pero lo dudo, en tal caso es mejor copiarse a la BIOS o a la gráfica, cosa que es para mí, al menos de momento, muy complicada de hacer.

Saludos

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: Karcrack en 28 Junio 2011, 01:19 am

Cita de: [Zero] en 27 Junio 2011, 22:12 pm

es mejor copiarse a la BIOS o a la gráfica, cosa que es para mí, al menos de momento, muy complicada de hacer.

Para ti y cualquier programador humano :xD Existen PoC sobre infecciones de BIOS... el problema es que cada BIOS es un mundo... y tiene que programarse específicamente para la elegida. No existe ninguna forma genérica para hacer esto (Al menos no una pública y documentada :xD)

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: x64core en 28 Junio 2011, 01:36 am

emm :xD a mi lo unico que se ocurrio fue q window solo se instala en un solo disco el pograma puede estar en el otro disco ( si es q existe :P ) sino pues creo q no y aun asi esa no es una forma de combatir el formateo. es solo una idea :P :xD

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: Arkangel_0x7C5 en 30 Junio 2011, 14:15 pm

Las bios EFI al menos las que yo he visto, se parecian bastante al menos en la interface....

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: extreme69 en 3 Julio 2011, 21:02 pm

Cita de: Karcrack en 28 Junio 2011, 01:19 am

Y que estás esperando para darnos material de lectura? :D

Te juro que busco en google y no encuentro nada relevante, o sea, encuentro puras soluciones a virus especificos pero no encuentro nada relacionado al dark side del asunto.

Perdonen mi ignorancia, pero más que flashear un bios o hacer overclocking jamás experimente mayor experiencia con estos, ¿en que lenguaje están programados? ¿assembler o que? y más importante aún, el software para flashear la bios ¿en que lenguaje está programado? ¿hay códigos de ejemplo de esto?

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: тαптяα en 3 Julio 2011, 21:35 pm

Si ASM..pero podrias fijarte en codigos de virus que infectan la BIOS como el chernobyl.

Buscate info sobre codes de ese tipo y busca como infectar bios EFI.

https://discussions.apple.com/thread/2712019?start=0&tstart=0

http://www.monografias.com/trabajos/viruscih/viruscih.shtml

http://threatpost.com/en_us/blogs/researchers-unveil-persistent-bios-attack-methods-031909

El supuesto code de Chernobyl

Código:

http://pastebin.com/L0bEaTia

Título: Re: ¿Hay manera de mantener un programa al inicio aunke se formatee?
Publicado por: extreme69 en 3 Julio 2011, 21:47 pm

Interesantísimo, muchas gracias.

Título: Re: ¿Hay manera de mantener un programa al inicio aunque se formatee?
Publicado por: [Zero] en 3 Julio 2011, 22:45 pm

Cita de: extreme69 en 3 Julio 2011, 21:02 pm

No esperes un PoC o un tutorial de 2 carillas que lo explique, aprender todo lo necesario para poder hacerlo lleva años. Primero tienes que aprender a programar bien en C, y aprender ASM. Luego tienes que aprender como funciona un Sistema Operativo, nada mejor que el Internals. Una vez que sepas esto, podrás entender el código de algunos bootkits, estudiar las técnicas e intentar aplicarlas.

Te dejo enlaces:

Windows® Internals: Including Windows Server 2008 and Windows Vista, Fifth Edition (http://amzn.com/0735625301)
eEye BootRoot (http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-soeder.pdf)
Stoned Bootkit Whitepaper (http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf)
Stoned Bootkit Source Code (http://www.stoned-vienna.com/downloads/Stoned%20Bootkit%20and%20Antivirus%20Tracker%20complete.zip)
Evil Core Bootkit - Pwning Multiprocessor Systems (http://downloads.ninjacon.net/downloads/proceedings/2011/Ettlinger_Viehboeck-Evil_Core_Bootkit.pdf)
Evil Core Bootkit Source Code (http://dl.dropbox.com/u/24455435/EvilCore_nowinpatches.tar.gz)

Y el TDL4, que está dando tanto que hablar estos días:
TDL4: new bootkits stepping out, ESET Whitepapers (http://blog.eset.com/2011/05/31/tdl4-new-bootkits-stepping-out)
TDL4 Analisys Paper (http://www.aall86.altervista.org/TDLRootkit/TDL4_Analysis_Paper.pdf)

Creo que todos usan el MBR y no la bios, pero es un comienzo, empieza por lo fácil :xD.

Saludos

Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: extreme69 en 27 Junio 2011, 18:41 pm