Mensajes

Muchas gracias. No creo que falte demasiado, es lo suficiente (y bueno) para que cada uno profundice por su cuenta.

Saludos

Gracias, este tipo de cosas siempre son interesantes sobre todo para los que no hemos cogido elhacker.net desde sus comienzos. ¿Vendrá algún dia en los libros de historia? 

Lo dicho esperando esa segunda parte.

Saludos

[%HOMEDRIVE%\]

Tal y como lo ha echo RockoX funciona bien, tal vez sea porque se mueve al directorio %HOMEDRIVE%\ y tu no estás en ese directorio. Prueba eliminando esa línea y con el archivo equipos.txt en el mismo directorio que el batch.

Saludos

Está bien enfocado, a ver si saco tiempo, pienso seguir el taller. Yo ya me habia iniciado un poco en TASM, con el debug... pero me he decidido profundizaré con FASM.

Enhorabuena E0N

Saludos

Con el Kaspersky (y culaquier otro antivirus "convencional") no se pueden detectar éstos cambios en el registro. Lo único que puede darte problemas del Kaspersky es el firewall si está activo.  - Además de que no detecte el troyano... 

Saludos

[reg query ...]

No, en este caso el reg query ... llega hasta /v ctfmon, que consulta la clave. Y en la otra línea otro comando (if) que comprueba si se pudo realizar la consulta, si no, es que la clave no existe y la vuelve a crear.

[net users | find /i "%user%"]

Hola

Para el primer código, yo no usaria un FOR. Puedes usar: net users | find /i "%user%"
-/i hace que no se diferencien mayúsculas de minúsculas.

Y después usar un if para comprobar si se encontraron resultados.

Código [Seleccionar] Expandir

@echo off
echo prueba
:menu
set /p user= usuario:
net users | find /i "%user% ">nul
if %errorlevel%==0 (echo Existe) else (echo No existe)
pause > nul
exit


En "%user% " hay un espacio intencionado ya que evita que se den falsos positivos con partes de otra palabra.



Con lo del comando start no te puedo ayudar, pero puedes leer algún manual de netcat,  nircmd...



Por último lo de las horas de inicio de sesión, creo que queda así:

Código [Seleccionar] Expandir

net user /times:L-D,4PM-5PM

Aquí te dejo ayuda de los comandos NET:
http://cpys.iespana.es/cpys/winnt/net.pdf

Pregunta si algo no funciona.

Saludos

[/v]

Hola

El comando:

Código [Seleccionar] Expandir

reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v server.exe
/t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled:  Windows Messenger"
debe de ir todo en una línea, /v es un parámetro del comando. Por eso si lo pones en una línea aparte salta un error, ya que no se reconoce como un comando ni como un ejecutable. Al quitar /v se queda como principio de línea server.exe y por la misma razón vuelve a aparecer el error pero con server.exe.

Si te das cuenta dejándolo dividido en dos líneas, la primera queda: reg add [clave] que solo crea una clave de registro vacia. Y la segunda línea ya que solo son parámetros no hace nada y devuelve un error.

[/v no se reconoce...]

El /v no se reconoce... tiene que ser porque has pasado a partir de ahí a otra línea (has partido el comando reg add).

Y el de inicio: no se reconoce... es porque los dos puntos tienen que ir al principio de la etiqueta y por otro lado no se pueden repetir las etiquetas (puedes poner :inicio2 o cualquier otra).

Prueba esto creo que deberia funcionar perfectamente.

Otra cosa, creo que es mejor cambiar el orden en el apartado de los servicios, es decir, primero cambiar el valor del registro y luego intentar iniciarlo (para el caso en que estuviera deshabilitado).

Saludos

Ya lo veo más claro. La parte en rojo (segundo código) tiene que ser ctfmon.bat, ya que es el valor de clave run a restaurar, iba un poco con prisa la ultima vez.
A parte de eso, todo bien.

Espero las capturas del cyber para solucionar los errores que pueda haber.

Saludos