Persistencia on Adrián Lois

Iniciar aplicaciones antes de la carga de perfiles de usuario

Sun, 23 Aug 2015 22:33:00 +0000

Si queremos iniciar una determinada aplicación en background antes de la carga de cualquier perfil de usuario, de modo que ya esté disponible cuando encendamos el equipo y nos aparezca la pantalla de bienvenida de Windows sin necesidad de iniciar sesión en la máquina local.

Vector clásico de persistencia
Modificar HKLM\...\Winlogon\Userinit es una técnica documentada de persistencia (MITRE ATT&CK T1547.004). Cualquier alteración será marcada por EDR/AV maduros y queda en logs forenses. Si lo usas como administrador legítimo, documenta el binario añadido y notifica al equipo de seguridad para evitar incidentes.

Crear servicios en Windows con sc (Service Controller)

Mon, 26 Aug 2013 07:43:00 +0000

Esta vez comentaré al igual que una de las últimas entradas en las que decía cómo crear servicios de Windows con Process Hacker, pero esta vez mostraré como hacerlo con una propia herramienta de Windows, la cual es mediante el uso del comando sc.exe (Service Controller) a través de la consola de comandos.

La estructura del comando sería del siguiente modo:

sc create [nombreDeServicio] [binpath=nombreDeRutaDeBinario]
[type={own|share|kernel|filesys|rec|adapt|interact type={own|share}}]
[start={boot|system|auto|demand|disabled}] [displayname=nombreDescriptivo]

Ahora explicaré cada uno de los parámetros utilizados.

Crear servicios de Windows con Process Hacker (sin sc.exe)

Fri, 16 Aug 2013 11:31:00 +0000

Probando algunos y nuevos task managers, de nuevo me reencontré con Process Hacker del que ya había hablado, volviendo a investigarlo un poco más a fondo he visto que se pueden crear servicios para Windows de algún proceso o fichero ejecutable e incluso añadirle parámetros después del path.

Una vez descarguemos e instalemos Process Hacker de forma gratuita. Lo ejecutamos y nos vamos a la opción de la barra de herramientas: Tools > Create service…

Restablecer la password de cualquier cuenta local de Windows (Sticky Keys)

Fri, 01 Jul 2011 16:14:00 +0000

Con esto se podrá recuperar la contraseña de los usuarios registrados en un equipo local sin necesidad obviamente de entrar en el sistema, de manera que no se tenga que introducir la clave anterior para restablecer una nueva passw, de modo que genera una nueva contraseña para el usuario en la que seleccionemos, incluido administradores locales. Así también como el poder manipular otras configuraciones adicionales.