Imprimir Página - [Bug] Escondiendo Programa en Autorun

Título: [Bug] Escondiendo Programa en Autorun
Publicado por: isseu en 16 Noviembre 2010, 02:15 AM

Escondiendo Programa en Autorun

Hace poco estaba trabajando en un keylogger (muy chido), y cuando le agrege la función para iniciarse con el sistema, todo funciono perfectamente, el keylogger se iniciaba cuando iniciaba session.
Luego inicie el programa System Explorer (http://www.systemexplorer.net) para ver los runs o claves de registro que habían:

(http://img593.imageshack.us/img593/3231/dibujo1fx.png)

Extrañamente me fije que no estaba el keylogger... ¿Extraño no?, mejor veamos msconfig

(http://img823.imageshack.us/img823/6881/dibujo2vl.png)

¿WTF? y como se prende el programa?? revise las claves del registro...

(http://img152.imageshack.us/img152/7647/dibujo3y.png)

Hay esta..... y por que no lo muestra??? Respuesta: fijense que el nombre del valor es (Predeterminado) (no literalmente, en realidad no tiene nombre) y por eso no lo muestra
En fin hice un programa para mostrar esto:

http://www.mediafire.com/?9kfu7n7v0tcup2s (http://www.mediafire.com/?9kfu7n7v0tcup2s)

El codigo hecho en C# es algo así:

Código (csharp) [Seleccionar]

RegistryKey reg = Registry.LocalMachine.OpenSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", true);
reg.SetValue("", textBox1.Text);

Posibilidades?? existen muchas claves de registro para iniciar programas y buscar en cada una es algo largo, por lo que casi todos usan y confían en programas que, como yo les demuestro, no funcionan, así se pueden esconder programas espías, virus, etc.

Citar
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Probado en Windows XP, ¿quiere probarlo alguno? ¿Alguien lo conocía?

(http://i.creativecommons.org/l/by-nc/2.0/cl/88x31.png) (http://creativecommons.org/licenses/by-nc/2.0/cl/)

Título: Re: [Bug] Escondiendo Programa en Autorun
Publicado por: Novlucker en 16 Noviembre 2010, 02:27 AM

De hecho hay varios más que no aparecen en msconfig :P

https://foro.elhacker.net/tutoriales_documentacion/manual_de_procesos_que_se_ejecutan_al_inicio_de_windows_xp-t146876.0.html

Para revisas los programas que inician con Win acostumbro utilizar Autoruns (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx), pero ahora me queda la duda de si muestra esa llave así como esta :P

Saludos

Título: Re: [Bug] Escondiendo Programa en Autorun
Publicado por: Littlehorse en 16 Noviembre 2010, 02:37 AM

Autoruns la muestra ;D

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Seguridad => Mensaje iniciado por: isseu en 16 Noviembre 2010, 02:15 AM