¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Rápidó, tranquilo y seguro

Consultas: 1269 Comentarios: 9 Ranking: 14

miércoles, 4 de diciembre de 2019

Vamos a empezar con un truco pequeño. Seguramente Vd. conoce solicitudes del sistema operativo sobre qué programa usar para iniciar algún tipo de archivo. Las asociaciones son muy cómodas: los programas predeterminados pueden ser cambiados al vuelo y hasta en función de algún requisito. Pero lo mismo lo pueden hacer también los hackers.

En el registro del sistema operativo Windows hay una clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Permite asignar depuradores a los programas que se iniciarán de forma automática al iniciar el programa. Por ejemplo, si en el registro Windows creamos la clave HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ххх.exe, y en la misma – una opción de línea con valor "Debugger"="C:\yyy.exe", al intentar iniciar un archivo xxx.exe, en vez del mismo, se iniciará un archivoм yyy.exe. A su vez, yyy.exe, al finalizar su trabajo, iniciará xxx.exe.

¿Desea iniciar la calculadora en vez del administrador de tareas?

Añadimos a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe la opción de línea (REG_SZ) Debugger con valor "C:\Windows\System32\calc.exe"

Los mismo lo harán los programas nocivos. Por ejemplo:

Para asegurar el autoinicio y la difusión
Modifica las siguientes claves del registro

  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'

Fuente

O también así:

Luego reiniciamos el sistema y en la pantalla para entrar en Windows hacemos 5 clics sobre la tecla SHIFT, como resultado, se inicia la ventana de la línea de comandos por el cual hemos sustituido el programa sethc.exe. Lo que pasa es que la línea de comandos se inicia con permisos SYSTEM, de esta forma, tenemos acceso completo al equipo y podemos iniciar lo que nos apetezca, por ejemplo, shell de Explorer!

#drweb

Fuente

#Windows #antivirus #seguridad

El mundo de antivirus recomienda

Por supuesto, un programa nocivo puede realizar una acción similar solo si el antivirus está desactivado. Como vemos, se requiere poco tiempo para realizar cambios en el sistema. El software nocivo podrá hacerlo hasta si Vd. desactiva su antivirus “solo por un momento”. Es por eso que no se recomienda nunca desactivar el antivirus. Hasta al iniciar el sistema, si uno desea acelerarlo todo.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios