Come si può eseguire codice all'entrata della cartella in Windows?

3

Domanda teorica, sono solo interessato a come potrebbe essere fatto. Ricordo di aver avuto un virus su Windows7 / 8 (non ricordo bene quale) che abbia reso Windows BSOD all'entrata di una cartella che aveva un file riconosciuto dall'AV come virus. Ha reso Windows BSOD quando si entra nella cartella usando Windows Explorer e usando cd nella riga di comando.

A mia conoscenza, in Windows XP è possibile modificare l'estensione di un file in ".folder" e Windows nasconde l'estensione e la mostra come una cartella, ma ho letto che la "funzionalità" è stata rimossa da Microsoft, dal momento che è stato considerato come un bug alcuni exploit successivi. Però non penso che sia così, visto che mi è successo questo in Windows7 / 8.

La mia esperienza su WinApi non è vasta, ma stavo pensando che magari usando alcune chiamate API hacky si potesse monitorare dove l'utente sta navigando in cmd / explorer. Anche in questo caso, non pensate che questo sia il caso (perché Microsoft dovrebbe dare a uno sviluppatore tali poteri?).

Quindi, qualche idea?

    
posta Vilmantas Bašinovas 14.10.2015 - 15:08
fonte

3 risposte

2

Sì, questo è possibile. Un modo per farlo sarebbe quello di creare una cartella condivisa e condividerla con una versione mutilata dei propri computer localhost. Quando cmd.exe prova ad elencare i file nella cartella, li "cercherà" sul localhost distrutto e dovresti essere in grado di intercettare quel traffico di rete. Non penso che sarebbe possibile senza le autorizzazioni di amministratore.

    
risposta data 14.10.2015 - 15:59
fonte
1

Un vecchio trucco usato dai virus per reinfettare ed eseguire codice dannoso sarebbe sostituire la directory con un collegamento che esegue lo script e apre explorer sul percorso corretto. Questo ovviamente funzionerebbe solo nell'interfaccia utente, l'accesso alla directory tramite console non attiverebbe il collegamento poiché tecnicamente è un file (.lnk) non una directory.

Questo è specifico per un'istanza di Windows.

    
risposta data 15.10.2015 - 05:49
fonte
1

A seconda dell'intensità con cui il virus è riuscito a incorporarsi, potrebbe semplicemente applicare una patch a Explorer.exe e intrappolare le chiamate di funzione appropriate per generare un'eccezione quando si accede a quella particolare directory.

L'esplorazione di Explorer sarebbe quasi certamente sufficiente per lo schermo blu.

    
risposta data 15.10.2015 - 07:30
fonte

Leggi altre domande sui tag