[XP/Vista] Autorun.inf weer aan het werk krijgen?* - Windows clients

woensdag 30 september 2009 16:08

Acties:

Verwijderd

Topicstarter

Hey hallo,

Ik heb jullie kennis nodig. Ik probeer van een aantal bestandjes een autorun te maken.

De situatie nu is:
- programma1.exe

Ook heb ik een autorun gemaakt, gekoppeld aan het .exe programma.:
- autorun.inf

Dit werkt goed (zie plaatje) (btw. dit is een USB-stick)

Afbeeldingslocatie: http://digitaalonderzoeker.nl/forum/download/file.php?id=25

Afbeeldingslocatie: http://digitaalonderzoeker.nl/forum/download/file.php?id=25

Is er ook een mogelijkheid dat de Autorun.inf altijd word uitgevoerd? Dan bedoel ik niet de keuzemogelijkheid van de bijlage. Maar dat het stil en automatisch gebeurd.
De gewenste situatie is dus: "Er wordt een USB in-ge-plugt, zonder iets te doen, worden de programmaatjes uitgevoerd."

Het moet kunnen....virussen maken er ook gebruik van (b.v. Taskmon.exe) Ik weet alleen niet hoe dit moet. Kan iemand helpen?

M.v.G.

woensdag 30 september 2009 16:09

Acties:

RedHat

Windows houdt dit tegen (iig vista en 7).. XP dacht ik ook al, dus volgens mij onmogelijk om een PC te infecteren doormiddel van 2 sec USB stick erin knallen.

woensdag 30 september 2009 16:11

Acties:

Devion

Space for rent ;-)

In Windows is er een beveiliging ingebouwd waardoor autorun nooit zelf zal draaien vanuit een USB stick - een uitzondering op die regel zijn de G3 sticks waarbij een deel van de stick een cd kan emuleren waardoor Windows 't wel toestaat.

Dus ja, 't kan als je maar een specifieke stick hebt.. anders gaat 't feestje niet door.

woensdag 30 september 2009 16:43

Acties:

alt-92

ye olde farte

How to disable the Autorun functionality in Windows
Laat je niet foppen door de titel.

Sowieso is het wel handig om ook te vermelden over welke Windows variant je het hebt

[ Voor 8% gewijzigd door alt-92 op 30-09-2009 16:44 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 30 september 2009 16:46

Acties:

RaZ

Funky Cold Medina

Microsoft heeft autorun van USB sticks (met uitzondering van de U3) uitgezet. Dat zal ook niet meer aan gaan.

De link naar hoe het uitgezet wordt heeft weinig nut

Ik zal eens even dat nieuws item opsnorren waar dat in stond, was t.net overigens

Gevindt: nieuws: Microsoft trekt AutoRun-teugels aan in Windows 7

[ Voor 25% gewijzigd door RaZ op 30-09-2009 16:47 ]

Ey!! Macarena \o/

vrijdag 2 oktober 2009 14:21

Acties:

Verwijderd

Topicstarter

Heef iemand ervaring met het virus taskmon? Taskmon maakte namelijk ook gebruik van een automatische autorun... op usb's en HD's... Dus het moet ggewoon kunnen, ook op normale USB's

vrijdag 2 oktober 2009 14:32

Acties:

RaZ

Funky Cold Medina

Ok, leuk dat het nu nog kan, maar in Windows 7 kan het niet meer. En Vista en XP zullen het ook niet meer ondersteunen.

Waarom wil je iets gaan fabrieken als je weet dat het in de zeer nabije toekomst gewoon niet meer zal werken?

Maar waarom zouden wij jouw vragen eigenlijk nog beantwoorden, als je zelf vragen niet eens beantwoord? Je dient aan te geven om welke versie van Windows het gaat.

Ey!! Macarena \o/

vrijdag 2 oktober 2009 14:34

Acties:

pasta

Ondertitel

Verwijderd schreef op vrijdag 02 oktober 2009 @ 14:21:
Heef iemand ervaring met het virus taskmon? Taskmon maakte namelijk ook gebruik van een automatische autorun... op usb's en HD's... Dus het moet ggewoon kunnen, ook op normale USB's

Om ff eerlijk te zijn, je programma malware functionaliteit geven zodat het voor jou makkelijker is om te verspreiden is wel heel erg fout.

MS en gebruikers leggen niet voor niets die restricties op autoruns, dat omzeilen lijkt me niet echt best practice.

Signature

vrijdag 2 oktober 2009 15:32

Acties:

Jester-NL

... pakt een botte bijl

Ik persoonlijk ben iemand die autoruns onmiddelijk en resoluut van een systeem sloopt. Ik wil niet dat er iets gebeurd (en al helemaal niet dat er iets installeert) zonder dat ik daar handmatig en expliciet toestemming voor geef.
Ga eens kijken naar een schonere, vriendelijkere manier van het verspreiden van je progsel dan deze. Wat is het eigenlijk voor programma dat je zo sneaky wilt installeren?

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 2 oktober 2009 15:37

Acties:

Verwijderd

Topicstarter

pasta schreef op vrijdag 02 oktober 2009 @ 14:34:
[...]

Om ff eerlijk te zijn, je programma malware functionaliteit geven zodat het voor jou makkelijker is om te verspreiden is wel heel erg fout.

LOl, terechte wantrouwens... laten we het er op houden dat ik het niet gebruik om malware te realiseren, ik wil een programma snel en automatisch runnen. Ik heb eerder ervaring gehad met Taskmon, wij hebben op school een programmat'je voor geschreven om het te verwijderen, omdat de virusscanners het niet konden.

Maar dat is de zeldzame genialiteit een malware Als Taskmon. De Silent/Automatische Autorun.

RaZ schreef op vrijdag 02 oktober 2009 @ 14:32:
Maar waarom zouden wij jouw vragen eigenlijk nog beantwoorden, als je zelf vragen niet eens beantwoord? Je dient aan te geven om welke versie van Windows het gaat.

Sorry schat... het gaat om de Windows versies voor W7.

vrijdag 2 oktober 2009 15:41

Acties:

Verwijderd

Topicstarter

Ik heb ook wel eens iets gehoord over CDFS op je USB. Dat houd in:
2 partitions:
- 1 CDFS (cd-rom achtige shit)
- 1 gewone partitie.

De CDFS voert dan de autorun uit en schrijft de benodigde gegevens weg naar de gewone partitie. Allee heb ik geen idee hoe ik dit kan fixen...

vrijdag 2 oktober 2009 15:45

Acties:

Verwijderd

Topicstarter

[b][message=32672567,noline]
Ga eens kijken naar een schonere, vriendelijkere manier van het verspreiden van je progsel dan deze. Wat is het eigenlijk voor programma dat je zo sneaky wilt installeren?

Beste Jesper, Allereerst bedankt voor je technisch-inhoudelijke toevoeging aan dit topic.
Als ik zou zeggen dat het zal gaan om een welkomsscript voor de Hardenbergse Brei-Punnik - en Pruts verreniging, zou je me toch niet geloven.

Vandaar dan maar de waarheid: Het gaat om digitaal forensisch onderzoek van een pc, indien mogelijk ook in gelockte toestand van een pc onderzoeks-programma's kunnen uitvoeren.

Nu ben ik eerlijk geweest,

Kan iemand me nu helpen?

[ Voor 7% gewijzigd door Verwijderd op 02-10-2009 15:48 ]

vrijdag 2 oktober 2009 16:40

Acties:

alt-92

ye olde farte

Kleine tip voor de volgende keer, je kan op meerdere mensen tegelijk reageren in één post - zelfs met quotes als je dat wil.
Scheelt weer 3x posten achter elkaar, ook al lijkt het handiger om het te doen zoals nu; het komt bij sommigen als 'schoppen' over.

RaZ schreef op woensdag 30 september 2009 @ 16:46:

De link naar hoe het uitgezet wordt heeft weinig nut

ORLY?
Lees nog maar eens goed door dan.
Ik zei nog: laat je niet foppen door de titel en dan doe je het toch

How to selectively disable specific Autorun features
To selectively disable specific Autorun features, you must change the NoDriveTypeAutoRun entry in one of the following registry key subkeys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\

Value Meaning
0x1 or 0x80 Disables AutoRun on drives of unknown type
0x4 Disables AutoRun on removable drives

Jij mag drie keer raden wat een value 0x0 doet.

[ Voor 17% gewijzigd door alt-92 op 02-10-2009 16:55 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 2 oktober 2009 16:47

Acties:

Verwijderd

Topicstarter

alt-92 schreef op vrijdag 02 oktober 2009 @ 16:40:
[...]
Jij mag drie keer raden wat een value 0x0 doet.

Vet, maar wordt dan niet de hele autorun uitgeschakeld? ik bedoel: Misschien gebeurt er dan wel helemaal nix.
kan het wel ff testen ; )

alt-92 schreef op vrijdag 02 oktober 2009 @ 16:40:
Kleine tip voor de volgende keer, je kan op meerdere mensen tegelijk reageren in één post - zelfs met quotes als je dat wil.
Scheelt weer 3x posten achter elkaar, ook al lijkt het handiger om het te doen zoals nu; het komt bij sommigen als 'schoppen' over.

Hmm, misschien heb je gelijkt, maar ik heb blijkbaar een redelijk gevoelig onderwerp gepost, daarom probeer ik juist duidelijk te maken dat ik geen kwaad wil

[ Voor 46% gewijzigd door Verwijderd op 02-10-2009 16:49 ]

vrijdag 2 oktober 2009 19:19

Acties:

RaZ

Funky Cold Medina

Niet gevoelig, eerder wat incompleet. Maar das inmiddels ook verheldert

Maar het gaat dus wel gebeuren dat Windows voor Win7 ook geen autorun meer toestaat behalve vanaf cd-rom.

@alt-92: klopt, maar dat wil niet zeggen dat iedereen dat snapt natuurlijk. Het aanzetten wordt niet echt besproken.

En het gaat om versie voor 7. Titlefix?

[ Voor 7% gewijzigd door RaZ op 02-10-2009 19:21 ]

Ey!! Macarena \o/

vrijdag 2 oktober 2009 19:33

Acties:

alt-92

ye olde farte

RaZ schreef op vrijdag 02 oktober 2009 @ 19:19:

@alt-92: klopt, maar dat wil niet zeggen dat iedereen dat snapt natuurlijk. Het aanzetten wordt niet echt besproken.

Kwestie van /dev/brain gebruiken en de aanwijzingen omdraaien.

DWORD regkeys lopen van 0x0 tot 0xFF, dus als in het artikel genoemde opties qua uitschakelen die 0x0 niet noemen heb je grote kans dat je die kunt gebruiken om autorun juist weer áán te zetten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 3 oktober 2009 16:30

Acties:

jw_moonshine

hmm, voor zover ik weet en heb gezocht, is het niet zomaar mogelijk om vanaf een usb iets op te starten. wel kan het met een u3 stick. die creert, zoals eerder is gezegd. een virtuele cd-rom. en daar staat dan een autorun op. ik ben er achter gekomen hoe je die cd-rom kunt aanpassen, zodat er op staat wat jij wel, en niet dat stomme u3 programma.
hier is een link waarin word uitgelegd hoe dat moet
http://www.mcgrewsecurity.com/pub/hackingu3/

ik hoop dat dit heeft geholpen

zondag 4 oktober 2009 23:32

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

alt-92 schreef op vrijdag 02 oktober 2009 @ 19:33:
DWORD regkeys lopen van 0x0 tot 0xFF

offtopic:
Euh, een DWORD kan waardes tot en met 0xFFFFFFFF bevatten op de meeste systemen

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 5 oktober 2009 11:22

Acties:

alt-92

ye olde farte

offtopic:
Jahaaaa... insectensex - et gaat om het idee hier. één F meer of minder was hier nou net niet van belang, wel de 0x0

[ Voor 37% gewijzigd door alt-92 op 05-10-2009 11:23 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 5 oktober 2009 11:49

Acties:

Verwijderd

Topicstarter

jwkanjer schreef op zaterdag 03 oktober 2009 @ 16:30:
zoals eerder is gezegd. een virtuele cd-rom. en daar staat dan een autorun op. ik ben er achter gekomen hoe je die cd-rom kunt aanpassen, zodat er op staat wat jij wel, en niet dat stomme u3 programma.

Dankje jw....
Dus ik heb zowieso een U3 nodig.
Dan loop ik nog tegen het volgende probleem aan:
Op de virtuale CD-rom kan ik geen gegevens wegschrijven.... en dat was nu juist wel de bedoeling. Is het volgende ook mogelijk op een U3????:
- Partitie 1: Virtuale CD-rom
- Partitie 2: NTFs partitie

maandag 5 oktober 2009 13:32

Acties:

jw_moonshine

Verwijderd schreef op maandag 05 oktober 2009 @ 11:49:
[...]
Op de virtuale CD-rom kan ik geen gegevens wegschrijven.... en dat was nu juist wel de bedoeling.

wat je kdus kunt doen, is op die virtuele cd-rom iets opstarten, wat vervolgens de autorun start op die usbstick

. en op die usbstick kun je wegschrijven wat je wilt.

Pagina: 1

Reageer