Categoría: Windows

Este servicio esta presente en Windows desde la primera versión de XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema, es lo que normalmente conocemos como punto de restauración del sistema.

Este servicio (VSS) crea copias ocultas (shadow copy) de cada uno de los bloques de 16k que recibe una variación y/o cambio de estado en la partición NTFS del disco duro.

Este servicio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como fruto de la instalación y/o actualización de un software / aplicación.

Se puede decir que la frecuencia de realización de esta copias puede sucederse al menos con la periodicidad de cada dos semanas en, esto va a depender de las actualizaciones del Sistema Windows.

La utilización del disco duro suele variar de un Sistema Operativo a otro, por ejemplo en Windows Vista se reserva el 15% de la capacidad total del disco, sin embargo en Windows 7 y Windows 8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema.

En Windows 8/10, se ha introducido el «Historial de archivos» donde algunos, con cierto grado de exactitud, han creído que el servicio de copias ocultas de Windows había evolucionado hacia esa nueva característica, nada mas lejos de la realidad, pues el servicio (VSS) sigue siendo el mismo, lo único es que ahora hay una nueva funcionalidad del Sistema Operativo que aprovecha ese servicio.

No obstante, en Windows 8, el servicio de Volume Shadow Copy se encuentra activo y funcionando por defecto. Esto en parte se debe a que se tiene activado el sistema de protección del Sistema, o lo que es lo mismo, el servicio de «creación de puntos de restauración«.

Herramientas para la manipulación de los Volume Shadow Copy de Windows

Desde el punto de vista de Pentester se hace evidente la necesidad de manipular los volúmenes ocultos (VSC) desde una línea de comandos, pues lo más probable es que si se consigue acceso remoto a un equipo durante un test de penetración sea gracias a una ventana de líneas de comandos remota.

Lo primero es conocer que comandos «nativos» del Sistema operativo se tienen disponibles para manipular dichos volúmenes ocultos, en particular se tiene:

• VSSADMIN
  Es la herramienta administrativa del Servicio de Volume Shadow Snapshots (VSS), que permite administrar dichos volúmenes.
• MKLINK
  Se utiliza para crear un vinculo simbólico a un objeto del sistema como por ejemplo un volumen VSC.
• VSC Toolset
  Permite navegar por el sistema de ficheros de dichos volúmenes se necesita permisos de administrador para poder realizar dicha navegación. Es una interfaz GUI para los comandos nativos del Sistema Operativo.
  Descargar VSC ToolSet 1.6.0.1

Una vez se ha creado un enlace simbólico al volumen oculto en cuestión, se tiene pleno acceso al contenido almacenado en él, pudiendo realizar acciones como por ejemplo: copy.

Con el comando MKLINK se puede copiar un fichero malware en el Sistema de manera permanente sin ser detectado por los administradores de Sistemas, aunque con algunas limitaciones, pues en el momento de acceder al volumen podría ser detectado por el sistema de antivirus, por lo que deberá de llevarse a cabo otras acciones complementarías para evitar dicha acción.

Además, se podrá acceder a dichos volúmenes y copiar información del Sistema incluido aquellos archivos / directorios protegidos por el Sistema Operativo, que podrán ser extraídos de manera segura y sin «hacer» ruido.

Truco para evitar el AV, si este no esta configurado para Analizar unidades de Red

mklink /D c:\temp\drv \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy14\net share drv=c:\temp\drv net use f: \\127.0.0.1\drv f:\malware\backdoor.exe

De esa forma podría evitarse el AV y ejecutar nuestro archivo «maligno», durante el «test de penetración».

También podría utilizar wmic para ejecutar archivos desde el VSC (Volume Shadow Copy) enlazado simbólicamente, tal que así:

wmic process call create \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\cmd.exe

¿Cómo utilizar VSC ToolSet?

Las Volume Shadow Copy (VSC) se han convertido en una parte importante del examen forense de una máquina Windows, ya que pueden proporcionar detalles sobre la actividad del usuario que no era posible en el pasado.

Ser capaz de ver cómo el sistema ha cambiado durante un período de tiempo puede ser crítico en muchos exámenes, y VSCs puede proporcionar sólo eso (y más).

Los aspectos forenses de VSCs, así como su funcionalidad, han sido cubiertos en detalle.

Dado que esta aplicación sólo ejecuta secuencias de comandos de lote en segundo plano, hay una carpeta llamada «batch» que debe almacenarse en el mismo directorio que el ejecutable de VSC Toolset.

Como es de suponer, aquí se almacenarán los scripts de lotes. Cada archivo de este directorio con la extensión .bat aparecerá en el cuadro desplegable situado junto a «Comando» en la GUI.

La idea es que un usuario pueda escribir su propio archivo por lotes con un comando que se llevará a cabo en una copia de sombra de volumen único, almacenarla en la carpeta «batch» y la aplicación GUI (le di el nombre «VSC Toolset «) se hará cargo del resto.

Es decir, VSC Toolset listará el archivo por lotes en el cuadro desplegable de comandos y proporcionará un medio para introducir los parámetros.

Requisitos para tener la funcionalidad completa

• RegRipper : rip.exe, carpeta de complementos y otros requisitos de RR deben estar en la raíz del directorio «regripper», que se encuentra en el mismo directorio que el ejecutable de VSC Toolset
• Diff : Incluido en la descarga de UnxUtils, diff.exe debe estar en el mismo directorio que el ejecutable de VSC Toolset
• ActivePerl : Necesario para ejecutar lista de salto y secuencias de comandos Perl de análisis LNK, ActivePerl debe instalarse en la máquina en la que se ejecuta el conjunto de herramientas VSC
• LogParser : Necesario para la funcionalidad relacionada con el registro de eventos, LogParser.exe y LogParser.dll deben estar en el mismo directorio que el archivo ejecutable de VSC Toolset>
• Jl.pl : incluido en los archivos wfa3e, debe estar en el mismo directorio que el ejecutable de VSC Toolset
• Lslnk-directory-parse2.pl: disponible desde el grupo Win4n6 bajo Files \ Tools, debe estar en el mismo directorio que el ejecutable de VSC Toolset
• Auto_rip : auto_rip.exe debe estar en la raíz del directorio «regripper»

Página oficial de VSC Toolset

Las ediciones Professional y Ultimate de Windows vienen con una característica integrada de escritorio remoto (RDP), que le permite acceder a su máquina remotamente desde fuera de casa o de la oficina.

Por desgracia, está limitado por defecto a un usuario(session) simultáneo, lo que significa que si alguien se conecta de forma remota a la computadora , el que había iniciado sesión en el momento será desconectado automáticamente , incluso si el usuario se encuentra físicamente en el ordenador.

Esto no es una limitación técnica , sino más bien una concesión de licencias.

Sin embargo, hay algunas razones por las que sesiones simultáneas sería muy útil para los usuarios avanzados.

Si quiere compartir el equipo con otros usuarios, sesiones de Escritorio remoto simultáneas permitirán más de una persona utiliza ese sistema bajo un incluso la misma cuenta de usuario diferente o, sin echar del sistema a los otros usuarios.

Para remediar esta limitación sólo tienes que descargar y descomprimir el archivo, UniversalTermsrvPatch_20090425.zip, ejecute el archivo correspondiente como administrador (clic derecho en el archivo exe y seleccione Ejecutar como Administrador).

• Sistemas de 32 bits utilizan: UniversalTermsrvPatch-x86.exe
• Sistemas de 64 bits utilizan: UniversalTermsrvPatch-x64.exe.

Usted debe ver una ventana como la de arriba donde se puede parchear termsrv.dll para eliminar el límite de sesiones de Escritorio remoto concurrente y restaurar el archivo original en cualquier momento (un archivo de copia de seguridad se encuentra en C:\Windows\System32\termsrv.dll.backup’).

Después de aplicar la revisión, reinicie el sistema y ya está listo para ir.

Este error suele ser debido a que no has marcado la opción «Ejecutar tanto si el usuario inicia sesión como si no» en «Opciones de seguridad» de la pestaña «General«.

Si no marcas esta opción y no has iniciado sesión en el equipo no se ejecutará la tarea, por lo tanto es muy recomendable marcar esta opción para que la tarea programada se ejecute aunque no hayas iniciado sesión.

En este caso te solicitará usuario y contraseña con la que se ejecutará la tarea, debe ser un usuario y contraseña con permisos suficientes para la tarea que ejecutes.

Si recibe el error «Función incorrecta» en un servidor Windows Server 2008 o Windows Server 2008 R2 cuando se trata de compartir una carpeta o crear un recurso compartido de archivos a continuación se encuentra el mensaje de error «Función incorrecta» nada intuitiva.

Esto se produce porque no tiene las reglas de entrada o salida en el firewall de windows para «Compartir impresoras y archivos».

En Windows aunque tenga el firewall desactivado.

Si usted no tiene las reglas creadas de compartir carpetas nos producirá este error.

Este error es debido a no tener instalado un componente de Microsoft Windows llamado Microsoft .NET Framework o que dicho componente se ha degradado o corrompido.

La solución es simple, descargar e instalar el ultimo Framework de .NET

• Descargar Microsoft .NET Framework 4 (instalador web) – Microsoft

El error IRQL_NOT_LESS_OR_EQUAL se produce cuando un driver está intentando acceder a una posición de memoria no permitida.

Este error puede estar motivado por diferentes causas:

• Driver erroneo: o bien defectos en el driver o bien versión incorrecta (o versión para Sistema Operativo incorrecto).
  Solución: actualizar el driver desde la página del fabricante a la última versión para Windows XP.
• Hardware dañado: cuando el resto de causas se hayan descartado cabe pensar que haya un daño en alguno de los dispositivos hardware, para averiguar cuál de ellos es el que causa el problema, será necesario quitar todos los dispositivos no esenciales, e ir probando añadiéndo de uno en uno (tarjetas PCI, discos duros, tarjetas integradas, etc…), hasta encontrar al causante.
  Solución: sustituirlo.
• Se obtiene el error al apagar el equipo: se ha observado que usuarios con ratones Logitech obtienen este error al apagar el equipo. Esto es debido al software para el ratón (LogiTech MouseWare), se puede producir en las versiones 9.10 y 9.24.
  Solución: actualizar a otra versión del software.
• Errores en el direccionamiento de memoria: debido a errores en el direccionamiento a memoria se puede producir este error. Las posibles causas de error en el direccionamiento incluyen:
  • Error hardware en el controlador de memoria: (residente en el microprocesador en aruitecturas K8, o en el puente norte del chipset en el resto de aruitecturas). Cabria tomarlo como causa, al haber descartado el resto.
    Solución: cambiar la placa base, o el microprocesador (según el tipo de arquitectura)
  • Error hardware en los módulos de memoria: un error en los módulos de memoria puede causar direccionamientos erroneos. Para saber si esa es la causa se debe pasar tests de memoria (tipo MemTest, Prime95).
    Solución: cambiar los módulos dañados
  • Inestabilidad por temperatura: una temperatura elevada (overclocking, mala refrigeración), pueden causar inestabilidad que derive en errores tanto en el controlador de memoria como en los módulos.
    Solución: mejorar la ventilación.
  • Inestabilidad por voltaje: un voltaje insuficiente (debido a una FA insuficiente o que provea voltajes inestables), puede llevar al mal funcionamiento del controlador de memoria o de los módulos de memoria.
    Solución: Si se observan voltajes inestables o se calcula que la potencia necesaria es superior a la que suministra la FA será necesario cambiarla.
  • Inestabilidad por OverClocking: es la causa que suele producir mayor cantidad de estos errores. Ya que un aumento en la velocidad del bus de memoria puede producir inestabilidad en los módulos de memoria y derivar en errores.
    Solución: Reducir la frecuencia del bus de memoria (reduciendo la frecuencia del reloj del sistema, o variando el ratio del Bus de memoria).
• Inestabilidad por OverClocking: si se cuenta con una placa base que no establece la velocidad de los buses PCI/AGP como asíncrona a la de los buses del sistema y de memoria (AGP/PCI Lock). Se puede producir inestabilidad en los dispositivos PCI (la situación sería análoga a la de un fallo Hardware en algún dispositivo PCI), cuando se overclockea subiendo la frecuencia del reloj del sistema.
  Solución: reducir la frecuencia de reloj del sistema (bajar el OC). En caso de contar con placa base con AGP/PCI lock, establecer las velocidades de AGP/PCI como 66/33. O probar a subir las latencias PCI (lo cual puede eliminar o al menos paliar estos errores).

Error 800 o 678

Siempre que se recibe este error es por que hay un cortafuegos que bloquea la conexión VPN.

La solución pasa por añadir excepciones a su cortafuegos o antivirus.

Error 619

Éste es un error muy común en las conexiones VPN desde casa. Viene dado porque el router se ha configurado para hacer NAT en la red interna de casa, es decir, permite conectar varios ordenadores a Internet simultáneamente.

Este error se soluciona configurando correctamente el router para que permita conexiones VPN por PPTP, o bien haciendo una conexión VPN que utilice el protocolo IPsec en lugar del PPTP.

Error 691

Se da cuando se han introducido mal las credenciales, ya sea el nombre de usuario o bien la contraseña.

También puede deberse a que el usuario está sancionado sin el ‘permiso de marcado’, lo cual le inhabilita para conectarse por VPN y a la wifi.

Error 721

Este error se da cuando se está conectando a VPN con el protocolo PPTP y el cortafuegos de la red, o del ordenador, no permite el tráfico del protocolo GRE, (Generic Routing Encapsulation).

GRE es Protocolo IP 47. PPTP utiliza GRE para encapsular los datos del túnel.

Para resolver este problema, configure el cortafuegos de la red, o del ordenador, para que permita el protocolo GRE 47.

Además, asegúrese de que el cortafuegos permita el tráfico TCP en el puerto 1723. Ambas condiciones se deben cumplir para establecer la conectividad VPN con PPTP.

Error 733

Hay un error en la configuración TCP/IP de la conexión.

Compruebe si ha seleccionado el protocolo TCP/IP y en la opción de configurar TCP/IP, también ha seleccionado el «usar DHCP para asignar direcciones de cliente TCP/IP remotos.

Error 734

Este error puede producirse si se usa un nombre de usuario o una contraseña incorrectos o si la opción de seguridad de la conexión VPN no está configurada correctamente para usar la opción ‘Requerir una contraseña segura‘

Error 711

Este error es debido a que alguno de los servicios necesarios para este tipo de conexión está deshabilitado. Los servicios necesarios son :

• Telefonía
• Administrador de conexión de acceso remoto
• Administrador de conexión automática de acceso remoto

Para resolver este problema, habilite los servicios deshabilitados y después inicie los servicios:

• 1. Haga clic en Inicio, haga clic con el botón secundario del ratón en Mi PC y, después, haga clic en Administrar.
• 2. Haga doble clic en Servicios y aplicaciones y, después, en Servicios.
• 3. Haga clic con el botón secundario del ratón en Telefonía y, a continuación, haga clic en Propiedades.
• 4. En la ficha General, haga clic en Manual junto a Tipo de inicio.
• 5. En la ficha General, haga clic en Inicio bajo Estado del servicio y, a continuación, haga clic en Aceptar.
• 6. Repita los pasos 3 a 5 en Connection Manager de acceso remoto y en Administrador de conexión automática de acceso remoto.

Error 812

Error que se da cuando su usuario está sancionado sin el permiso de marcado, lo cual impide conectarse por wifi y por VPN.

La sanción será debida, probablemente, a que la última vez que se conectó lo hizo desde un dispositivo infectado por algún virus o troyano

Si deseas utilizar un Active X en internet solo funcionara con el Internet Explorer, pero se quejara de que necesita un archivo .cab, me dispuse a descargarlo cuando veo que me sale una ventana con el siguiente mensaje:

windows bloqueo este software porque no puede comprobar el fabricante

¿Como desbloquear los Active X en Internet Explorer?

• Desbloquear las ventanas emergentes del Internet Explorer
• Habilitar en las Opciones de Internet de I.Explorer en la pestaña Seguridad, pulsa en Internet y luego Nivel personalizado
  • Comportamiento de binarios y de scripts
  • Descargar Active X sin firmar
  • Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts
• Aceptamos, cerramos el I.Explorer y lo volvemos a abrir.

Paso a paso

Como primer paso primero desactivemos el bloqueador de ventanas emergentes, ese lo encuentras en el menu herramientas, y solo da clic en esa opción, así como se muestra en la imagen.

En el mismo menú herramientas selecciona la opción Opciones de Internet:

Y abrirá una ventana con varias pestañas, dale clic en la pestaña de seguridad, y dentro de esa ventana da clic en el botón de nivel personalizado.

Una vez hecho esto demos nos mostrara una ventana parecida a esta

Busquemos la sección  de controles y complementos de ActiveX, y en esa sección busca la opción que dice Descargar los controles ActiveX sin firmar (no seguro), y da un clic en habilitar, así como se muestra en la imagen

En esa misma sección, busca otra opción que dice Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts (no seguro), y también habilitarlo, y en la opción de Restablecer a: debe de estar en Medio-alto (predeterminado), solo da clic en aceptar y listo, cerramos la ventana de IE y abrimos una nueva para que efectúe los cambios.

Cuando se abra la nueva ventana nos mostrará un mensaje de que es inseguro navegar con la configuración que le dejamos, eso no importa ahora si a abrir la ventana que nos pide que instalemos el complemento Active X damos clic en la barrita que pone en la parte superior para instalarlo y lo instalamos ya no deberá de salir ningún mensaje.