 |
|
 |
|
SEGURIDAD
|
|
26 Mayo 2002 SEGURIDAD DE SISTEMAS: Personalización de extensiones de ficheros Archivos tipo .txt ejecutables Indice Prefacio
Bien, ya que Metalhack, Sede Mar del Plata se Reúne en el Patio Gaucho vale la pena recordar esta estrofa que se me vino a la mente en este preciso momento y con la que José Hernández comienza su poema "Martín Fierro" "Aquí me pongo a cantar al compás de la vigüela, que el hombre que lo desvela una pena estrordinaria como la ave solitaria con el cantar se consuela" Para quien le interese leerlo completo visiten http://www.lahueya.com.ar/index/fierro/fierroindex.htm - Introducción - Como bien indica el verso anteriormente citado, "Aquí me pongo a cantar". Este informe contiene los pasos básicos sobre como hacer que un archivo sea de una extensión determinada, pase a ser ejecutable. ************************************************************************* Ver un archivo del tipo .txt y que en realidad no se abra como
un .txt sino que se ejecute como un .exe
Datos Importantes para los recién iniciados: A continuación hablaremos de Cadenas, valores de cadenas, valores binarios y Dword. Acto seguido un breve explicativo del tema Cadena = "Carpetita amarilla" El registro de Windows se divide en 6 ramas entre las cuales veremos
HKEY_CLASSES_ROOT En este caso nos concentraremos en la primera (HKEY_CLASSES_ROOT) que es la que mas nos interesa. Al extender el contenido de la rama HKEY_CLASSES_ROOT nos encontraremos con muchas "carpetitas amarillitas" denominadas claves. Lo impotante es reconocer las claves que su nombre comienzan con un Punto. Como por ejemplo ".exe" Dentro de la clave seleccionada, que comience con un punto, veremos que nos indica con que programa se abre cuales son las funciones que se pueden realizar con ese tipo file al hacer clic derecho en el file en cuestión (edición, imprimir, etc). Existe la posibilidad que una cadena llame a otra cadena, que es el caso puntual de ".exe"; dentro de HKEY_CLASSES_ROOT\.exe encontraremos un valor de cadena con Nombre (predeterminado) y datos "exefile". Eso nos indica que cada vez que se intente abrir un archivo con extensión bat buscara la cadena exefile, la cual nosotros veremos en HKEY_CLASSES_ROOT\exefile . Entonces Resumimos => cada extensión de archivo debe tener una "Clave" de registro y uno o varios "Valor de la Cadena" que nos indiquen que hacer con ese archivo, si ejecutar, si abrir con tal o cual software. - Simular un Tipo Archivo Siendo Otro - Para hacer este informe ejemplificaremos con un archivo que todos disponemos que es el calc.exe (lo encontraremos en c:\windows\calc.exe ). Haremos una copia (no un acceso directo sino una COPIA) y lo renombraremos a calc.cx17 Entonces: Haremos que al intentar abrir el archivo calc.cx17 se ejecute como un exe que es (recuerden que solo renombramos, y no efectuamos ningún cambio en el archivo en sí). Extensión real del archivo EXE < -- > Extensión simulada del archivo CX17 Seleccione la extensión .cx17 por mero capricho, pero podria haber seleccionado alguna extensión conocida (jpg, gif, tif, txt, etc.) A su vez, este informe ira acompañado de los archivos de ejemplo, lo cuales podrán ejecutar y corroborar la realidad de la teoría que aquí les presento. En este sentido, no es mi intención que uds destruyan sus Windows, es por ello que también seleccione una extensión inexistente, tal que luego de realizar la prueba puedan eliminar fácilmente las claves de registro añadidas en este testeo, y vuelva todo a la normalidad. En primer lugar veremos como es la clave de registro de los archivos exe
Nos encontramos que dentro de la clave "exefile" tiene
un "valor binario", un "valor de cadena" y varias
cadenas dentro. No haremos hincapié en cada una de ellas
por que no hace falta. Ahora bien, me voy al escritorio abro el archivo puntoexe.reg con un clic derecho -- > edición, ya que hacemos doble clic nos consultara si deseamos agregarlo al registro, y nos encontraremos con un archivo de texto de este tipo: REGEDIT4 [HKEY_CLASSES_ROOT\.exe]
[HKEY_CLASSES_ROOT\.exe] --- >es la rama en donde se situaran los datos; "Content Type"="application/x-msdownload" --- > es el nombre del "Valor de la Cadena" y luego del = los datos de es "valor de la cadena" @="exefile" --- > Nombre y datos respectivamente, solo que la @indica que como nombre se pondrá " (predeterminado) " Entonces, que es esto, y que hace? Bien, indica que cada vez que se abra un archivo exe, se fije en exefile que es lo que hay que hacer, es por ello que seguimos con el exefile.reg Desde ahora en mas La haremos lo mas sencilla posible. Abrimos el exefile.reg para edición con el clic derecho, y nos encontramos algo así.
[HKEY_CLASSES_ROOT\exefile] [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open] [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_CLASSES_ROOT\exefile\shellex] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}] [HKEY_CLASSES_ROOT\exefile\DefaultIcon] REGEDIT4 [HKEY_CLASSES_ROOT\.exe] [HKEY_CLASSES_ROOT\exefile] [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open] [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_CLASSES_ROOT\exefile\shellex] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}] [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
- Nacimiento de un Nuevo Tipo de Archivo - PASO 1 (generación de la extensión) Buscamos la línea [HKEY_CLASSES_ROOT\.exe] y la modificamos a [HKEY_CLASSES_ROOT\.cx17] PASO 2 (Cambio del Icono) Buscamos la linea (de seguro al final del archivo) --- > y la modificamos por --- > NOTA: se puede seleccionar cualquier icono, elegí este por que esta en todas las pc con Windows 98 NOTA 2: el path va con doble \ PASO 3 (generación de lo que hará Windows cuando encuentre esa extensión) Abrimos el archivo completito.reg con el editor de texto de nuestra preferencia, buscamos la cadena "exefile" (sin las comillas) y la reemplazamos por "cx17" (también sin comillas)
Buscamos --- > [HKEY_CLASSES_ROOT\cx17] y reemplazamos de modo que quede --- > [HKEY_CLASSES_ROOT\cx17]
Vamos a hacer la prueba: Al principio de este informe les indicaba que hagan una copia del archivo calc.exe (copia y no acceso directo) y lo renombren a calc.cx17 si lo han hecho y ya han agregado al registro "completito.reg" (un simple doble clic sobre el archivo y un aceptar) verán como el archivo calc.cx17 pasó a tener el icono de Windows Update y que al hacerle doble clic sobre el se ejecutara tal cual un exe. - Como Eliminar el tipo de archivo .cx17 que hemos creado - Se hace simplemente abriendo el regedit, buscando y eliminando dentro de HKEY_CLASSES_ROOT las claves ".cx17" y cx17 y su contenido.
Pensando en como hacer esto automático se me ocurrió buscar reg2exe y me encontré con una herramienta que precisamente hace eso. Son solamente 13 Kb, pruébenla yo la use y me resulto muy útil. http://www.ctuser.net/download/reg2exe.htm
Nombre: Juan Matías Stati
|
|
Gratis Servicio de noticias
|
| Sus Sugerencias son bienvenidas Pincha Aquí |
| ¡¡Lista de correo!! Introduzca su correo: |