bom na imagem ai em cima eu capturei a imagem da tela de boas vindas do Windows e no fotoshop e editei ela...No computador o que vale é a criatividade não é?!?! Quer deixar o seu papel dee parede na tela de logon do W indows 2000, XP(no modo clássico) ou Server 2003? Exixtem programinhas que permitem fazer isso, que geralmante editam o registro pra você...Mas há quem goste de editar o registro (pro isso essa dica esta na minha apostila) diretamente...Entao vamos lá, sem enrolação: Inicair > executar > regedit HKEY_USERS\.DEFAULT\Control HKEY_USERS\.DEFAULT\Control Panel\Desktop No item "Wallpaper "Wallpaper"(se "(se não tiver essa sub-chave favor cria-lá), coloque o caminho completo da imagem, que DEVE ser BITMAP.É recomendavel deixala com o tamanho da resoluçao do seu monitor...Não use aspas no caminho. Assim você pode deixar o logo da sua empresa, uma mensagem pra quem ligar o seu computador, a foto da sua namorada, etc... Ah basta fazer logoff Dica para ir aprendendo:Na aprendendo:Na chave ".DEFAULT ". DEFAULT"" do registro, vocÊ pode alterar diversas coisas relativas ao usuários "padrao" do Windows, que é uma conta especial, que não pode "efetuar logon" local, mas é usada quando nehum usuário está logado (por ex:, ao iniciar o computador , ao fazer logoff e até mesmo durante a instalação do Windows, no modo grafico, quando as contas de usuários ainda nem sonham em ser criadas). O que você altera aqui não afeta as contas usuários atuais do computador.
Importante: como ocultar unidades de disco e bloquear acesso a elas no Windows. Por Marcos Elias
Se vocÊ quiser esconder alguma partiçao, não prescisa usar necessariamente um programa...O prorprio W indows possui essa configuração, mas não existe através de interface grafica.Salve o REGEDIT! E ainda pode negar acesso a ela, bloqueando uma unidade inteira (explico isso logo mais abaixo, você precisara usar nenhum programa de terceiros) Estando oculta, o acesso a unidade não negado, mas ela não aparecerá mais na listagem de unidades no "meu computador", no "ambiente de redes" nem nas janelas do Explorer em geral. Assim usuários e bisbilhoteiros mais simples não acessarão (só de digitarem a letra delas no "iniciar > Executar" ou na barra de endereço, por exemplo)
FPORT - Um programa que consegue mapear as portas abertas no seu computador para processos, mostrando assim que programa abriu cada porta. REGEDITREGEDIT- Editor do registro que vêm junto com o W indows. Primeiro usaremos a opção de scanneamento do Valhala no nosso próprio computador, usando o endereço de loopback (127.0.0.1) e selecionando selecionando Scanneamento inteligente, para que o programa cheque as portas cadastrados em sua lista:
Encontramos várias portas abertas. Vamos checar então: meu sistema operacional é Windows XP e o utilizo como servidor. Só de ter essa informação já posso excluir várias portas: a porta 25, que é meu servidor de envio de e-mail, a porta 110, que é meu servidor de recebimento de e-mails, a porta 135 que é o RPC (remote procedure call), a porta 389 do LDAP, a 1025 do Listen e a 5000 (mesmo mostrando acima que podem existir trojans que a utilizem) usada pelo Universal Plug n Play. Ora, sobrou apenas a porta 666 (que o trojan servercompress.exe da matéria anterior abriu). Obs: São todas portas portas TCP. No computador de um usuário comum que utilize Windows 98 por exemplo, apareceram bem menos portas. Geralmente é comum as porta 139 (Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse t este, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em m odo DOS e ver suas informações:
Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.e c:\windows\system32\servercompress.exe xe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.
Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.
Dicas de invasão!!! Por Marcos Assunção Normalmente, quando um invasor instala um trojan ou um backdoor (porta dos f undos) em uma máquina, ele utiliza o clássico modo clienteservidor. O software abre uma porta na máquina alvo, e o invasor precisa saber o endereço ip dessa máquina para poder se conectar a ela. Mas e quando não é possível que o invasor saiba o endereço ip, ou melhor ainda, se essa máquina estiver dentro de uma rede interna (intranet) com um endereço ip privado? Ex: 192.168.0.2. O invasor nunca poderia utilizar esse ip para se conectar. Como ele poderia fazer então? Ele teria que utilizar o conceito de conexão reversa. Em vez de se conectar ao alvo, f azer o alvo se conectar de volta ao invasor. Isso possui várias vantagens: - Para múltiplos alvos, não há necessidade de saber os endereços ips. - Qualquer computador dentro de uma rede interna pode ser alvo (mesmo os que acessam via proxy) - Esse tipo de ataque consegue burlar a maioria das configurações de firewall Para exemplificar, vamos utilizar o programa NETCAT (o famoso canivete suíço do TCP/IP) para realizar uma conexão reversa simples. Primeiro, damos uma olhada geral nas suas opções:
Podemos ver que o programa possui muitas funções diferentes, e pode agir tanto como cliente (como uma espécie de super-telnet) quanto como servidor. Para nosso ataque funcionar, vamos precisar abrir dois prompts de comando, e digitar o seguinte:
Em cada uma das janelas, pedimos ao NETCAT (comando nc) que escute ( -L ) em uma determinada porta ( –p ), só mostre conexões em formato numérico ( -n ) e nos mostre todo tipo de tráfego que passar por essa porta ( -vv). Estando então agindo como servidor, abrimos as portas 53 e 79 no nosso sistema (lembra que somos o invasor?). Agora, como faremos para o sistema alvo se conectar de volta ao nosso ip? Enviamos via bat, ou executamos via active x em alguma página, métodos existem muitos... o que terá de ser feito é o seguinte:
Está vendo esse símbolo ( | )? Nós o chamamos de pipe... ele serve para concatenar a saída de um comando para a entrada de outro. No exemplo acima, eu fiz o seguinte... “Conecte-se ao endereço ip 200.97.69.233 na porta 53, concatene a saída para o programa cmd.exe e envie o resultado dessa saída para uma conexão feita ao ip 200.97.69.233 200.97.69.233 na porta 79”. Em sistemas Linux/Unix, basta trocar o cmd.exe por /bin/sh (o interpretador de comandos). O que nós fizemos foi: o sistema alvo vai se conectar na minha porta 53, capturar o que eu digitar, processar pelo seu interpretador de comandos e enviar o resultado para uma conexão na minha porta 79. Teoricamente então, quando eu digitar o comando dir na minha janela de comandos que está monitorando a porta 53, vou ver o resultado do comando na janela da porta 79. Complicado? Nem tanto... vamos ver o resultado
Pronto, digitei alguns comandos na primeira janela e recebi o resultado na Segunda. Com isso, conseguimos realizar a conexão reversa. Se você desanimou por achar m uito trabalhoso, eu tenho uma boa notícia. Alguns trojans gráficos j á conseguem realizar conexão reversa (entre outras coisas fantásticas que abordaremos em outras matérias). Um desses é o Beast, demonstrado na imagem abaixo.
Essas bolhas verdes na verdade são conexões reversas sendo realizadas. Na versão definitiva, as bolhas foram trocadas por Ets, mas o princípio é o mesmo.
O que é o fake mail? O que é o f ake mail? É a técnica de se enviar e-mails “falsos” como qualquer pessoa. Geralmente, um servidor de envio de e-mails de um provedor (o SMTP) faz algumas checagens quando se pede para enviar um e-mail. Checa se aquele endereço realmente pertence ao provedor, se a pessoa que está mandando a mensagem está conectada ali (é raro servidores de envio de e-mail suportarem relay, que é permitir que pessoas de fora do provedor consigam mandar mensagens). Mas existem os servidores que permitem, e até páginas na internet que permite a
você fazer isso. Qual o perigo disso? Bom, dizem que uma imagem vale m ais que mil palavras... observe a imagem abaixo:
Utilizando como teste um site de e-mails anônimos (fake m ails), eu enviei uma mensagem para meu e-mail, como se viesse de president at whitehouse.gov, whitehouse.gov, com o nome de George W . Bush. Muita gente pode pensar: ah, mas isso é como mandar um cartão, você coloca o e-mail que quiser... não é bem assim... a mensagem vai chegar como se fosse enviada normalmente, pelo outlook por exemplo. Vamos observar o e-mail depois que ele chegou na minha caixa postal.
O e-mail chegou, e o nome pelo menos é o que colocamos. Mas e qual é o endereço do e-mail enviado? Vamos dar uma olhada em propriedades.
Prontinho. Objetivo completado. Acabei Acabei de “receber” um e-mail do presidente dos Estados Unidos. Agora imagine o impacto do fake mail em empresas e negócios em geral. É muito comum a engenharia social ser usada nesse aspecto. aspecto. Manda-se um e-mail a vários usuários de um provedor como se fosse do suporte (geralmente suporte do provedor.com.br) com uma mensagem muito convincente, pedindo-os para mudar sua senha de acesso para uma senha padrão, como : abc1234. Claro que muitos não cairão... mas a grande maioria vai cair. Como evitar esse problema? Com bom senso... se receber um e-mail pedindo alguma coisa importante, responda e confirme se aquele e-mail foi realmente enviado pelo seu dono. Precaução nunca é demais no perigoso jogo da Internet.
Como esconder definitivamente um trojan de um anti-vírus Por Marcos Assunção Hoje as pessoas confiam demais em programas para sua segurança. Seja um firewall, um sistema de IDS ou mesmo um anti-vírus. Só que muitas vezes apenas os programas não são suficientes, pois eles também são falhos. Vamos fazer um teste com um famoso anti-vírus do mercado, o Norton 2003. Isso não vai fazer diferença pois todo anti-vírus é vulnerável a esse problema. Usarei o servidor de um cavalo de tróia (trojan) que abre e recebe conexões na porta 666 do seu computador. Poderia ser qualquer outro. O nome do arquivo servidor é server.exe . Vou passar o Norton nele para ver o que acontece.
O Anti-Vírus encontrou o trojan. Reclamou de “infecção encontrada” e o apagou. Sorte que fiz uma cópia dele. Vamos dar uma olhada na estrutura do Server.exe . Para isso usarei o excelente PE Explorer ou Resource Hacker(Falei dele na minha primeira apostila!), ambos podem ser conseguidos em http://www.heaventools.com http://www.heaventools.com.. Esses softwares permitem que eu “enxergue” o que existe dentro do arquivo binário e consiga até manipular alguns dados.
Usando o PE Explorer então, vou apagar todas as imagens existentes dentro do Server (bitmaps e cursores), todas as janelas de diálogo que ele possa ter, modificarei algumas strings e um pouco do código em Pascal (como o nome dos componentes e seu caption). Poxa consigo fazer tudo isso com esse programa? Sim, consegue. Mesmo após retirarmos todo esse “lixo”, o programa ainda roda. Está na hora do segundo tratamento dado ao Server, comprimir o seu tamanho usando o programa Petite http://www.un4seen.com/petite / / .
Bom, mandei comprimir o programa e ele ficou com cerca de 30 a 50% maior do que seu tamanho original. Não, essa não é uma compressão do tipo ZIP ou coisa do gênero. O Petite praticamente realoca o arquivo, tornando-o totalmente diferente do que era antes... mas ainda funcional. Salvamos o novo arquivo comprimido como servercompress.exe . Vamos repassar o Norton 2003 para vermos agora :
Prontinho. O anti-vírus não encontrou nenhuma infecção. Isso porquê o antivirus procura padrões conhecidos de vírus e trojans nos arquivos. É como se ele olhasse uma foto e procurasse por ela dentro de arquivos. Como nós modificamos muito a nossa “foto” original, o programa não detectou nada. Os cavalos de tróia de hoje conseguem até barrar firewalls como Zone Alarm. Como ? Eles possui um pequeno banco de dados com o nome de processos de programas comumente usados como Zone Alarm, Norton Internet Security, Tiny Firewall, etc. Antes do trojan t entar abrir a porta e o firewall detectar, ele procura entre os processos que estão sendo executados no computador computador aqueles que estão na sua lista. Se encontrar algum deles, o trojan os fecha (claro que o trojan precisa ter permissão para isso, mas na m aioria dos usuários comuns isso vai acontecer) e pode até substituir o ícone da barra de tarefas por um falso, exatamente igual ao do firewall que ele acabou de fechar. Citarei outras técnicas em outras matérias futuramente.
Teu amigo entra para ver os recado no orkut quando ele clik em qualquer coisa ele sai do orkut!!! Por Nélio Jaloto É isso mesmo um HTML que quando você manda para aguma contato seu no orkut pelo recado ele sai imediatamente, indo parar na pagina inicial do orkut, ja perdir m uitas amizade por isso rsrssr... E so mandar um recado para o seu inimigo assim:
