Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Ver el contenido de la carpeta "System Volume Information" 551

Ver el contenido de la carpeta "System Volume Information"

Ver el tema anterior Ver el tema siguiente Ir abajo

Tutorial Ver el contenido de la carpeta "System Volume Information"

Mensaje  r32 el Vie Ago 19, 2011 1:14 am

S.O: XP/Vista/7 (capturas de Win XP)
Ruta de la carpeta: X:System Volume Information (Se creará la carpeta por cada partición que tengas en disco)
Atributos: Oculto y como archivo de sistema
Información: Entre otros datos contiene los puntos de restauración del sistema. Se crea la carpeta dependiendo si esta activa la opción:
* Restaurar sistema

Por defecto se crean dos archivos dentro de la carpeta;
* MountPointManagerRemoteDatabase
* tracking.log

Adicionalmente podemos encontrar una carpeta llamada:
* _restore {.....}



Ahí, clasificado por carpetas estarán todos los puntos con nombres como: (RP= Restore Point)
RP18
RP24
RP26
......




Depende mucho de los puntos de restauración que se tengan creados, habrán mas o menos carpetas.
Lo que a nosotros nos interesa es buscar ahí los malware que se ubican en esta carpeta para pasar inadvertidos al usuario.
Un antivirus (supuestamente) tendría que detectar un malware alojado en esa carpeta siempre que este en su base, aunque por heurística tambien puede detectarlo.
Pero? Que pasa si nuestro antivirus no localiza nada y ante la duda queremos ver el contenido e investigar un poco por nuestra cuenta...
Por defecto esta carpeta se trata como si fuese de sistema y por vias normales sería imposible acceder a ella:



Para acceder podemos hacer lo siguiente:
Panel de control --> Opciones de carpeta --> petaña VER -->

Marcar:Mostrar todos los archivos y carpetas ocultos
Desmarcar: Ocultar archivos protegidos del sistema operativo (recomendado)
Desmarcar: Utilizar uso compartido de archivos (recomendado)

Aplicar y aceptar.
En la carpeta "System Volume Information" hacemos click derecho y pestaña "Seguridad"
Aparecerá esta ventana:



Click en "Agregar", abajo/izquierda clickar en "Avanzadas" y en la nueva ventana clickar en "Buscar ahora"
Elige la cuenta con la que estas en tu PC, ya sea con nombre por defecto Administrador o el nombre que pusiste.
Click en Aceptar. Ahora vemos que se añadió nuestro usuario, clickamos en Aceptar tambien y nos devuelve a la ventana
de "Propiedades de System Volume Information", aqui tambien se añadió nuestro usuario, Aplicar y Aceptar.

Ahora que podemos acceder a la carpeta, ya esto dependerá de como quieras hacerlo, de forma automática analizando los archivos con tus tools o dependiendo de los archivos que contega con un editor hexadecimal.

*******

Si el archivo incluye rutinas antidebugging y no se deja abrir, edita la extensión del archivo:
virus.exe --> virus.ex_
Acepta la advertencia y podrás leer las strgins del ejecutable.


Si necesitas eliminar los puntos de restauracion del sistema y desde las opciones de "Restaurar sistema" no te deja desactivar la unidad C:,



siempre puedes hacerlo desde las opciones de servicios.
Para entrar a la consola, Inicio --> Ejecutar --> Services.msc



Buscar la siguiente entrada: Servicio de restauracion del sistema
Doble click para modificar los valores y Parar el servicio y pasarlo a Manual, ya cuando te interese o por crear nuevos puntos lo restauras.

Un saludo.

r32
Moderador Global
Moderador Global

Posts: 509
KCoins: 1176
Reputación: 41
Fecha de inscripción: 03/11/2009

Premios:
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


Permisos de este foro:
No puedes responder a temas en este foro.