lunedì 27 settembre 2010

Come è stato usato il mio computer in mia assenza? (Computer Investigation) - Parte 2

Colgo l'occasione di rispondere ad un commento di un mio lettore per creare un post che servirà sicuramente a tutti.
"Ho lasciato un mio amico da solo con il mio pc vorrei sapere se e possibile visualizzare  i file e le cartelle  che ha aperto.
Grazie
un lettore "


Premetto che questo tipo di analisi non utilizza software di terze parti, sfrutta solo strumenti già presenti nel sistema operativo, per chi volesse effettuare una investigazione più approfondita con software gratuiti, consiglio il mio post

Investigare sulle attività di un computer (Computer Investigation)


sabato 25 settembre 2010

Favoriti di internet sul Desktop (scorciatoia sul desktop ai favoriti di internet)

In questo post vi mostrerò come è possibile creare un'icona sul desktop del vostro sito web preferito.

  1. Aprite il vostro browser
  2. Digitate l'indirizzo del sito che preferite in assoluto (http:\\balzanomichele.blogspot.com) ;-)
  3. Attendete che sia caricato completamente
  4. Cliccate e trascinate sul vostro desktop l'iconcina che compare affianco all'indirizzo web












venerdì 24 settembre 2010

Documenti Recenti (Recent Documents) la scatola nera del computer.

Esiste una cartella di Windows che a parer mio è possibile paragonare ad una scatola nera degli aeroplani. Si tratta della cartella “Documenti Recenti” in questa cartella, Windows copia un collegamento di tutto ciò che viene eseguito sul computer, quindi immagini, documenti, fogli excel, Mp3, progetti Visual Studio, progetti CAD, file video insomma praticamente tutto, finisce all’interno di questa cartella. La cosa interessante è che trattandosi di collegamenti ai file possiamo anche ignorare la posizione originale del file, basterà cliccare sull’icona per eseguire il file stesso. Attenzione però se il file è stato cancellato o si trovava su una pen drive non riuscirete ad aprirlo ma saprete comunque in una certa data e ad un certo orario il nome e il tipo di file su cui si stava lavorando.

giovedì 23 settembre 2010

Allarme Virus (TROJ_JORIK.ASD)

Con questo Post intendo iniziare una serie di articoli mirati alla segnalazione di nuovi virus in circolazione. Di volta in volta vi spiegherò come agisce, e sopratutto come è possibile rimuovere il virus o lo spyware del momento. In questo modo i miei lettori saranno sempre informati relativamente alle nuove minacce della rete. In questi giorni esattamente dal 17 settembre 2010 è in circolazione un  nuovo allarme virus   (TROJ_JORIK.ASD) del tipo Trojan, questo ha sollevato l'attenzione delle società che si occupano di antivirus vista la sua diffusione in così poco tempo. Di per sè non è molto diverso dagli altri Trojan infatti l'infezione avviene navigando su internet su siti che permettono il downloads di software che anche se apparentemente innocui possono essere stati modificati ad hoc per diffondere il trojan. La sua modalità di insediarsi nel computer è la seguente:

  1. Copia se stesso nella system root con il nome di explored.exe
%SystemRoot%\explored.exe
Nota: (%SystemRoot% è la cartella di root, che di solito è C:\  è' anche il luogo dove si trova è il sistema operativo)
  1. Aggiunge queste voci al registro di configurazione in modo che venga eseguito ad ogni avvio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServicesOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\SharedTaskScheduler
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServicesOnce 
Recycler = "%System Root%\explored.exe"

  1. Accede a diversi siti internet durante la normale navigazione per scaricare routine maligne che permettono agli aggressori di accedere al computer, per rubare password e dati personali
Questo Trojan viene eseguito su Windows 2000, XP e Server 2003.

Procediamo alla  rimozione dal computer :

Step 1
Prima di eseguire qualsiasi scansione, gli utenti di Windows ME e XP devono assicurarsi di disattivare Ripristino configurazione di sistema. 
Fig.1 Ripristino configurazione di sistema

























Step 2
Interrompere tutti i processi TROJ_JORIK.ASD, premere CTRL + ALT + CANC per aprire il Task Manager di Windows. Cliccare sul "Processi scheda, cercare TROJ_JORIK.ASD, quindi fare clic destro e selezionare "Termina processo".

Per gli utenti di Windows 98 e ME, Gestione attività (Task Manager) di Windows potrebbe non visualizzare tutti i processi in esecuzione. In questo caso, utilizzare un visualizzatore di processi di terze parti, ad esempio ProcessExplorer, per terminare il processo dell'antivirus. Tale strumento può essere scaricato qui:


Se il file rilevato è visualizzato in Gestione attività di Windows o in ProcessExplorer, ma non è possibile eliminarlo, riavviare il computer in modalità provvisoria. A tal fine, fare riferimento a questo post per i passaggi completi.

Se il file rilevato non è visualizzato in Gestione attività di Windows o in Process Explorer, continuare con i passaggi successivi.

Step 3
Eliminare questi valori del Registro di sistema:

(Importante: una modifica non corretta del Registro di sistema di Windows può causare problemi di funzionamento del sistema irreversibili.)

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServicesOnce
Recycler = "%System Root%\explored.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\SharedTaskScheduler
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
Recycler = "%System Root%\explored.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
Recycler = "%System Root%\explored.exe"

Step 4
Eseguire la scansione del computer con l'antivirus per eliminare i file rilevati come (TROJ_JORIK.ASD) Se i file rilevati sono già stati disinfettati, eliminati o messi in quarantena dall'antivirus, non sono necessari ulteriori passaggi. È possibile scegliere di eliminare semplicemente i file in quarantena.

Arrivederci al prossimo Tutorial
Michele Balzano

Modalità provvisoria di Windows



In questo post vi elencherò le modalità per effettuare il riavvio di Windows nella modalità provvisoria, necessaria per risolvere problemi software e debellare virus informatici.





Che cos'è la modalità provvisoria?

sabato 18 settembre 2010

Recuperare tutti i file cancellati (Piriform Recuva)


Alzi la mano chi almeno una volta non è incappato nel classico incidente della cancellazione involontaria dei file ?
In queste situazioni l'unica cosa da fare è mantenere la calma e seguire il mio Tutorial.
Parlando di recupero dati mi viene in mente solo un prodotto (gratuito) che funziona veramente bene, si tratta di Recuva, questo riesce a recuperare un'alta percentuale di file cancellati anche nelle situazioni più disperate, cioè la sovrascrittura. Pensate che questo software è utilizzato anche nelle investigazioni digitali, quindi nella Computer Forensics per rilevare eventuali tracce cancellate da Hard Disk e supporti removibili.

venerdì 17 settembre 2010

Come aumentare le visualizzazioni dei video di YouTube.

Stavo conducendo uno studio relativamente al criterio del conteggio delle di visualizzazioni dei video di YouTube. Pertanto ho scritto un piccolo software "ViewsTube" che in teoria avrebbe dovuto incrementare infinitamente le visualizzazioni su YouTube, ma misteriosamente si ferma dopo qualche centinaio...come potete vedere dal video allegato.

sabato 11 settembre 2010

Come loggarsi come utente SYSTEM in Windows (utente root di windows)

Con questo Tutorial basteranno pochi e semplici comandi per diventare il “Padrone Assoluto” del vostro computer.

Basta eseguire queste semplici operazioni:

Dove memorizza Windows le password?

Molte persone mi chiedono informazioni relativamente a come windows conserva le password delle più diffuse applicazioni.
In questo post cercherò di dare una risposta indicandovi la posizione nel Registro di sistema o del file di  in cui le applicazioni Windows memorizzano le password.
Così ho preparato un elenco di percorsi di memorizzazione delle password per le applicazioni e componenti di Windows più popolari.

giovedì 9 settembre 2010

Limitazioni utenti windows per internet cafè (InternetCafeSecurityTools)

Oggi vi presento un software  "InternetCafeSecurityTools" che ho creato per un mio amico che gestisce un Internet Cafè. 

La sua esigenza era quella di eliminare la possibilità in windows XP di :
  • Accedere al TaskManager
  • Fare LogOff
  • Spegnere il computer
  • Bloccare il computer
  • Cambiare password dell'utente loggato

martedì 7 settembre 2010

Investigare sulle attività di un computer (Computer Investigation)

Connettività Internet e progressi tecnologici portano ad esporre i computer e le reti informatiche ad attività criminali come intrusione non autorizzati, frodi finanziarie, furti di identità e della proprietà intellettuale. I computer possono essere utilizzati per sferrare attacchi contro reti di computer per la distruzzione di banche dati. Un' E-mail può essere usata per perseguitare persone, trasmettere immagini sessualmente esplicite, e condurre altre attività dannose. Tali attività, espongono le aziende a problemi etici, legali e finanziari e spesso richiedono loro di condurre indagini informatiche interne. In molti casi si affidano a persone come me che per svolgere indagini interne lavorano a braccetto con gli amministratori del loro sistema e quindi mi permettono di accedere a qualsiasi ambito della loro struttura informatica. Altre volte chiedono ai loro amministratori di svolgere indagini in proprio. Di seguito vi illustrerò alcuni Software gratuiti che io stesso utilizzo nelle investigazioni digitali che a volte mi trovo a dover fare per le aziende quando temono di essere oggetto di spionaggio industriale da parte di qualche dipendente.

giovedì 2 settembre 2010

Come sapere quali sono state tutte le attività del vostro computer.

Vi piacerebbe sapere quali sono state tutte le attività del vostro computer? per esempio quali software sono stati installati quali video e immagini sono state visualizzate i documenti aperti le cartelle sfogliate i download eseguiti ecc. ecc. Allora vi piacerebbe?  del resto fare un pò di audit (controllo) puo' essere utilizzato per aiutare a cercare segni di intrusione o per confermare uso improprio del computer o di configurazione.

mercoledì 1 settembre 2010

Trovare tutte le password del computer (in un solo click)

Ogni volta che sul computer accettate di memorizzare una password per accellerare il login successivo, il computer memorizza in un area (Registro di configurazione) riservata questa password con una certa cifratura a seconda del programma usato. Per rilevare tutte queste password memorizzate sul computer esistono dei piccoli programmi gratuiti, prodotti dalla società Nirsoft, che non necessitano di installazione, quindi utilizzabili direttamente da una penna USB. Questi programmi leggono le password da quelle aree riservate e le decifrano mostrandovele in chiaro!!
Ogni programma è specifico per trovare una data password ad esempio per trovare le password memorizzate nel browser Chrome utilizzeremo ChromePass.exe, per rilevare invece tutte quelle memorizzate in Internet explorer useremo iepv.exe.
Per semplificarvi la vita o scaricato tutti i software dal sito Nirsoft e o creato uno Script che lancia contemporaneamente tutti questi software della Nirsoft, memorizzando in un file tutte le password che i software riescono a rilevare.


Post più popolari