Scopriamo i Segreti di Windows....per professionisti

[Hg_Snake]

Alcuni anni fa nacque Sysinternals, sito creato dal Guru Mark Russinovich ,il quale ha acquisito nel corso di questi anni una Fama Mondiale per i suoi programmi gratuiti ed alle sue informazioni che non dipendevano da Microsoft.
Microsoft , non gli andava proprio giu di avere un sito non autorizzato ma altamente qualificato che gli sfornasse utility,news da dietro l'angolo....cosi nel 2006 ha comprato il Sito di Russinovich!!!....vabbè No Comment!!!..sta di fatto che ancora oggi molte delle utility freeware sono rimaste tali, ma conoscendo la casa di Redmond non mi stupirei se nei prossimi giorni venissero tolte o messe a pagamento.....Quindi sbrigatevi!!!!



Questi piccoli strumenti offrono una marea di funzioni utili, senza richiedere alcuna installazione,molti di essi riconoscono anche Windows Vista, benchè il produttore non ne faccia menzione, in ogni caso, provare conviene.

I File di si Sistema
File e cartelle sono parti integranti del nostro sistema, vediamo come sostituire o proteggere questi dati.

1) Movefile e Pendmoves: Sovrascrivere i file bloccati

Problema:
Molti file non possono essere sovrascritti ,cancellati nemmeno dagli Amministratori del sistema in quanto alcuni processi avviati da Windows mantengono aperto proprio questi file.....



Soluzione:
Pensandoci un attimo, alcuni software durante l'installazione vanno a modificare alcuni file di sistema...ma allora come fanno???....Semplice, riavviano Windows e prima che avvenga il boot completo sostituiscono i file interesati.
Per attivare forzatamente questa funzione si dovrebbe compilare una chiave del registro di configurazione con una sintassi complessa,a questo compito prowede Movefile,con comandi semplici all'interno di un prompt dei comandi si stabilisce quali file devono essere sostituiti o eliminati all'awio successivo?.
Movefile deve sempre essere awiato con i diritti di amministratore, la sintassi da utilizzare è semplice:

movefile <file bloccato> <nuovo file>

Se invece di "nuovo file" si inseriscono solamente le virgolette "", il file bloccato viene eliminato, si puo eseguire il comando per un file alla volta.

L'archivio di Movefile contiene anche lo strumento di controllo Pendmoves, anch'esso eseguibile dal prompt dos, che mostra quali azioni di rinomina o eliminazione sono in programma per il riavvio successivo.
Con Movefile non è possibile cambiare idea e annullare un'azione già programmata,a tal fine è necessario aprire il registro di configurazione e, nella chiave

HkeLLocal_Machine\System\CurrentControlSet\Control\Session Manager

, eliminare la voce Pending FileRenameOperations.
Per controllare, awiare Pendmoves e dopo l'eliminzazione della voce, l'output dovrebbe essere No Pending file rename operations registered.

2) Pagedefrag: Ridemensionare e ripulire il registro di configurazione

Problema:
Come spesso accade, siamo soliti installare Software , Videogames, o semplici programmini che dopo non ci servono piu...e come prassi normale,eseguiamo la disinstallazione guidata del programma. Ma la pulizia non avviene sempre come noi pensiamo, infatti quasi sempre le cartelle vengono cancellate con i relativi file, ma NON sempre le chiavi del registro vengono ripulite o comunque non eliminano lo spazio vuoto che si viene a creare, facendo crescere a dismisura il nostro Registro di Configurazione .

Soluzione:


Anche in questo caso , alcuni file di sistema non possono essere deframmentati durante il normale lavoro del sistema, quindi in nostro aiuto viene una piccola utility Pagedfrag di soli 70Kbyte che una volta installata e avviata, mostra nella sua parte superiore i file che devono essere deframmentati.
Potete scegliere di farlo al prossimo riavvio mettendo un flag di spunta sulla voce "Defragment next boot" oppure che ad ogni riavvio esegua la deframentazione mettendo il segno di spunta sulla voce "Defragment every boot" .

3) Streams: Parti di File Segreti

Problema:
Il file system NTFS offre la possibilita di attribuire a un file non solo un contenuto, ma vari contenuti a piacimento.
AII'apertura ordinaria del file sarà visibile solo iI contenuto primario, vale a dire quello associato al nome normale del file,tutti gli altri eventuali contenuti, chiamati stream, si celano dietro parti nascoste nel nome del file, dopo i due punti, ad esempio test.txt:segreto.
Questi ultimi non sono visibili nè in Esplora risorse nè eseguendo il comando dir dal prompt dei comandi.

Soluzione:
Per portare alla luce gli Stream, serve una utility speciale, quella che andremo ad utilizzare si chiama Streams, si utilizza dal Prompt di Dos con la seguente sintassi:

Streams <nomefile>

Se non vi sono Stream collegati a quel file, apparirà la scritta "no files with streams found".
In caso contrario verra visualizzato il nome di ciascuno stream presente, seguito dal tipo e dalle dimensioni in byte.
Raramente si ha I'esigenza di trovare gli stream in dati di cui si conosce gia la presenza di stream,è dunque consigliabile utilizzare I'opzione -s, seguita da una directory, anziche da un file,verrà effettuata una ricerca ricorsiva di file con stream presenti all'intemo delia directory.

Con I'opzione -d si eliminano tutti gli stream, procedendo un file per volta oppure, in combinazione con il parametro -s, con tutti i file e Ie sottocartelle all'interno di una cartella.

Dimostrazione:
fare doppio clic su un file eseguibile prelevato con Internet Explorer, ad esempio SETUP.EXE.
Explorer mostrera un awertimento indicante che il file non e firmato e chiedera se lo si desidera eseguire comunque, Streams segnalerà che iI messaggio compare a causa di uno stream di nome Zone.ldentifier, che contrassegna il file come download.
Per vedere il contenuto delIa stream, aprirlo con notepad setup.exe:Zone.Identifier
Nel Notepad verrà visualizzato il contenuto seguente:

[Zone Transfer]
ZoneId=3
Con la riga streams -d setup.exe

rimuovere lo stream, all'avvio del file non comparirà piu alcun avvertimento.


Sicurezza e Rete

Con il File System NTFS si ha la possibilità di controllare l'accesso dell'utente a file e cartelle, ma molto spesso non si capisce chi fa cosa e perchè lo fa...vediamo di fare un po di chiarezza.

4) Shareenum: Sicurezza nella Local Area Network

Problema:
I diritti di accesso nelle Rete Locale ai vari PC è consultabile dal pannello di controllo-> rete e visualizzare i permessi di lettura e scrittura, ma questo è un lavoro un po lungo e dispersivo se si vuole conoscere la condivisione di tutti i PC in un dominio Windows o Gruppo di lavoro.

Soluzione:



Utilizziamo anche questa volta una piccola utility di soli 94Kbyte dal nome ShareEnum v1.6 ,con la quale possiamo passare al vaglio un intero dominio o gruppo di lavoro e visualizzare tutti i diritti di accesso per ogni utente.

Inoltre con il pulsante Export, è possibile salvare il file in un formato txt che potrà essere visualizzato succesivamente.

5) Accessenum: Sicurezza nel File System



Problema:
E' difficile avere una visione chiara dei diritti di accesso locali effettivamente validi.
Chi può effettivamente intervenire in una determinata sottocartella in \Windows? se da qualche parte e stata apportata una modifica, non è facile individuare dove, se non si nutre gia qualche sospetto piu specifico.

Soluzione:
Il programma Accessenum in lingua inglese parte da una cartella selezionata dall'utente e passa ripetutamente in scansione tutte Ie sottocartelle e i file, visualizzandone i diritti di accesso.

Dal momento che I'elenco può subito diventare ingestibile, il programma riduce I'output e mostra solo la presenza di diritti di scrittura, lettura o entrambi. Nell'impostazione predefinita mostra inoltre solo i file e Ie cartelle che hanno piu diritti rispetto alla cartella di livello superiore,è una scelta opportuna perchè, in caso di copia o di creazione in Xp, file e sottocartelle ereditano i diritti delia cartella in cui sono creati;

In altre parole, inizialmente i diritti sono gli stessi ,se hanno piu diritti, significa che sono stati aggiunti successivamente, o da un utente o da un programma, ad esempio i programmi di installazione,in tal modo non è necessario confrontare faticosamente tutti i diritti di accesso, ma si riconoscono subito eventuali espansioni rispetto all'impostazione predefinita.

Inoltre con il pulsante Export, è possibile salvare il file in un formato txt che potrà essere visualizzato succesivamente.

6) TCP VIEW: Controllo sistematico delle connessioni



Problema:
Tramite il comando netstat -b 1 dal prompt di dos è possibile visualizzare le connessioni aperte su internet e con che cosa sta effettuando l'accesso, ma è necessario stare molto attenti nelle variazioni del ciclo se si è inserita una nuova applicazione.

Soluzione:
Ci viene in aiuto per questo compito, il programma TCP View, semplice programmino che mantiene statico le connessioni attive ,dando un colore differente a quelle nuove, inoltre premendo i tasti CTRL+W su di una connessione si puo eseguire un Whois rapido sul titolare del server in questione.


I programmi in esecuzione

Mi sembra ovvio che non pensiate che i soli programmi in esecuzione siano quelli che vedete, se cosi fosse sarebbe meglio che vi fermaste in questa lettura prima di combinare casini -:),nel sistema ci sono decine di applicazioni in esecuzione, alcune per lavori di routine altre ignote....

7) Autoruns:Cosa viene avviato in Backgrounds?



Problema:
Tutti gli utenti di Windows 98,ME,XP e Vista possono utilizzare il comando MSCONFIG.exe dal menu "Esegui", e visualizzare,disabilitare i servizi che si ritengono inutili...

Soluzione:
Il programma piu completo per questo lavoro ,rimane Autoruns di SysInternals,esso scandaglia piu di 70 sorgenti ed elenca eventuali voci di esecuzione automatica, funziona lla perfezione ed elenca anche tutti i servizi, i driver e ke DLL registrate che hanno direttamente a che fare con il problema esecuzione automatica.

8) Rootkit Revealer: Sulle traccie del Malware nascosto



Problema:
I metodi di attacco piu insidiosi che riescono a mascherarsi al'interno del sistema si chiamano rootkit, sono raccolte di programmi che, dopo un'intrusione nel sistema, vengono installati e camuffano I'aggressione,in molti casi i rootkit aprono brecce secondarie attraverso cui I'aggressore carpisce furtivamente i diritti di amministratore.
Esistono vari tipi di rootkit:
- Residenti sopravvivono al riavvio e si inseriscono in una sorgente di esecuzione automatica
- Rootkit della memoria svaniscono al riawio successivo
- Rootkit utente intercettano funzioni API eseguite a livello utente, ad esempio per nascondere un file in Esplora Risorse.
- Kernel Rootkit,i piu scaltri,bloccano persino funzioni API native di Windows,il set dei driver che viene utilizzato a kivello del kernel anche dai driver.

Soluzione:
Per individuare la presenza di un rootkit, servono esperienza e un programma, ad esempio Rootkit Revealerdi Sysinternals.
Vediamo come anche noi possiamo scovare questo intruso:
Scaricare ed avviare Rootkit Revealer da un account con diritti di amministratore e fare clic su Scan, iI sistema verrà scandagliato in due modi:
a) una volta nel modo trazionale, tramite I'API di Windows
b) la seconda leggendo i dati grezzi direttamente dal disco, senza curarsi di Windows.

Le differenze rilevate durante Ie due scansioni verranno visualizzate,a seconda del sistema, Ie scansioni possono durare anche qualche minuto, dopodichè è necessario interpretare il risultato.
Accanto al percorso trovato, nella colonna Description il programma elenca per ogni voce varie informazioni sui motivo del loro inserimento nell'elenco.

Rootkit Revealer non può tuttavia decidere da solo se si tratta di un innocuo fenomeno di Windows o di un rootkit,per I'analisi è utile la voce Interpreting the Output delia guida in lingua inglese RootkitRevealer.CHM oppure il sito [Solo per utenti registrati. ]
Se si conclude che un determinato rootkit si e diffuso nel sistema, andare in Google e cercare Ie modalita per liberarsene.

Attenzione: alcuni rootkit sono gia abbastanza furbi da verificare se è in esecuzione Rootkit Revealer, se lo vedono evitano prowisoriamente di manipolare Ie API e non compaiono nell'elenco, rendendo vane le nostre difese...almeno in parte.

Attenzione: Questo articolo è stato pubblicato più di 90 giorni fà quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Tweet