Categoría: Windows

Pasos a seguir para reinstalar el Windows Media Player 12 en windows 7

• Abrir el Panel de Control.
• Pulsar en Programas.
• Acontinuación buscar Activar y desactivar caracteristicas de windows.
• En caracteristicas multimedia, activar Reproductor de Windows Media y Aceptar
• Recibireis una advertencia del sistema
• Reiniciar

NOTA: En el caso que este activado, lo desactivais le dais aceptar una vez finalizado reiniciais, volveis a repetir los pasos para activarlo.

Lo primero que debemos hacer es pulsar inicio y en el cuadro de búsqueda de la parte inferior, escribimos «cmd» (sin comillas) y nos aparecerá :

Ahora pulsamos con el botón derecho y seleccionamos «ejecutar como administrador» para elevar los privilegios y así poder ejecutar la ordenes que le vamos a pedir que haga…

Ahora en la consola que se nos abre, escribimos lo siguiente, para activar la cuenta de Administrador.

net user administrador /active:yes

A continuación vas al Panel de control > Cuentas de Usuarios y le pones una contraseña.

Este servicio esta presente en Windows desde la primera versión de XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema, es lo que normalmente conocemos como punto de restauración del sistema.

Este servicio (VSS) crea copias ocultas (shadow copy) de cada uno de los bloques de 16k que recibe una variación y/o cambio de estado en la partición NTFS del disco duro.

Este servicio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como fruto de la instalación y/o actualización de un software / aplicación.

Se puede decir que la frecuencia de realización de esta copias puede sucederse al menos con la periodicidad de cada dos semanas en, esto va a depender de las actualizaciones del Sistema Windows.

La utilización del disco duro suele variar de un Sistema Operativo a otro, por ejemplo en Windows Vista se reserva el 15% de la capacidad total del disco, sin embargo en Windows 7 y Windows 8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema.

En Windows 8/10, se ha introducido el «Historial de archivos» donde algunos, con cierto grado de exactitud, han creído que el servicio de copias ocultas de Windows había evolucionado hacia esa nueva característica, nada mas lejos de la realidad, pues el servicio (VSS) sigue siendo el mismo, lo único es que ahora hay una nueva funcionalidad del Sistema Operativo que aprovecha ese servicio.

No obstante, en Windows 8, el servicio de Volume Shadow Copy se encuentra activo y funcionando por defecto. Esto en parte se debe a que se tiene activado el sistema de protección del Sistema, o lo que es lo mismo, el servicio de «creación de puntos de restauración«.

Herramientas para la manipulación de los Volume Shadow Copy de Windows

Desde el punto de vista de Pentester se hace evidente la necesidad de manipular los volúmenes ocultos (VSC) desde una línea de comandos, pues lo más probable es que si se consigue acceso remoto a un equipo durante un test de penetración sea gracias a una ventana de líneas de comandos remota.

Lo primero es conocer que comandos «nativos» del Sistema operativo se tienen disponibles para manipular dichos volúmenes ocultos, en particular se tiene:

• VSSADMIN
  Es la herramienta administrativa del Servicio de Volume Shadow Snapshots (VSS), que permite administrar dichos volúmenes.
• MKLINK
  Se utiliza para crear un vinculo simbólico a un objeto del sistema como por ejemplo un volumen VSC.
• VSC Toolset
  Permite navegar por el sistema de ficheros de dichos volúmenes se necesita permisos de administrador para poder realizar dicha navegación. Es una interfaz GUI para los comandos nativos del Sistema Operativo.
  Descargar VSC ToolSet 1.6.0.1

Una vez se ha creado un enlace simbólico al volumen oculto en cuestión, se tiene pleno acceso al contenido almacenado en él, pudiendo realizar acciones como por ejemplo: copy.

Con el comando MKLINK se puede copiar un fichero malware en el Sistema de manera permanente sin ser detectado por los administradores de Sistemas, aunque con algunas limitaciones, pues en el momento de acceder al volumen podría ser detectado por el sistema de antivirus, por lo que deberá de llevarse a cabo otras acciones complementarías para evitar dicha acción.

Además, se podrá acceder a dichos volúmenes y copiar información del Sistema incluido aquellos archivos / directorios protegidos por el Sistema Operativo, que podrán ser extraídos de manera segura y sin «hacer» ruido.

Truco para evitar el AV, si este no esta configurado para Analizar unidades de Red

mklink /D c:\temp\drv \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy14\net share drv=c:\temp\drv net use f: \\127.0.0.1\drv f:\malware\backdoor.exe

De esa forma podría evitarse el AV y ejecutar nuestro archivo «maligno», durante el «test de penetración».

También podría utilizar wmic para ejecutar archivos desde el VSC (Volume Shadow Copy) enlazado simbólicamente, tal que así:

wmic process call create \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\cmd.exe

¿Cómo utilizar VSC ToolSet?

Las Volume Shadow Copy (VSC) se han convertido en una parte importante del examen forense de una máquina Windows, ya que pueden proporcionar detalles sobre la actividad del usuario que no era posible en el pasado.

Ser capaz de ver cómo el sistema ha cambiado durante un período de tiempo puede ser crítico en muchos exámenes, y VSCs puede proporcionar sólo eso (y más).

Los aspectos forenses de VSCs, así como su funcionalidad, han sido cubiertos en detalle.

Dado que esta aplicación sólo ejecuta secuencias de comandos de lote en segundo plano, hay una carpeta llamada «batch» que debe almacenarse en el mismo directorio que el ejecutable de VSC Toolset.

Como es de suponer, aquí se almacenarán los scripts de lotes. Cada archivo de este directorio con la extensión .bat aparecerá en el cuadro desplegable situado junto a «Comando» en la GUI.

La idea es que un usuario pueda escribir su propio archivo por lotes con un comando que se llevará a cabo en una copia de sombra de volumen único, almacenarla en la carpeta «batch» y la aplicación GUI (le di el nombre «VSC Toolset «) se hará cargo del resto.

Es decir, VSC Toolset listará el archivo por lotes en el cuadro desplegable de comandos y proporcionará un medio para introducir los parámetros.

Requisitos para tener la funcionalidad completa

• Diff : Incluido en la descarga de UnxUtils, diff.exe debe estar en el mismo directorio que el ejecutable de VSC Toolset
• ActivePerl : Necesario para ejecutar lista de salto y secuencias de comandos Perl de análisis LNK, ActivePerl debe instalarse en la máquina en la que se ejecuta el conjunto de herramientas VSC
• LogParser : Necesario para la funcionalidad relacionada con el registro de eventos, LogParser.exe y LogParser.dll deben estar en el mismo directorio que el archivo ejecutable de VSC Toolset
• Jl.pl : incluido en los archivos wfa3e, debe estar en el mismo directorio que el ejecutable de VSC Toolset
• Auto_rip : auto_rip.exe debe estar en la raíz del directorio «regripper»

Página oficial de VSC Toolset

Las ediciones Professional y Ultimate de Windows vienen con una característica integrada de escritorio remoto (RDP), que le permite acceder a su máquina remotamente desde fuera de casa o de la oficina.

Por desgracia, está limitado por defecto a un usuario(session) simultáneo, lo que significa que si alguien se conecta de forma remota a la computadora , el que había iniciado sesión en el momento será desconectado automáticamente , incluso si el usuario se encuentra físicamente en el ordenador.

Esto no es una limitación técnica , sino más bien una concesión de licencias.

Sin embargo, hay algunas razones por las que sesiones simultáneas sería muy útil para los usuarios avanzados.

Si quiere compartir el equipo con otros usuarios, sesiones de Escritorio remoto simultáneas permitirán más de una persona utiliza ese sistema bajo un incluso la misma cuenta de usuario diferente o, sin echar del sistema a los otros usuarios.

Para remediar esta limitación sólo tienes que descargar y descomprimir el archivo, UniversalTermsrvPatch_20090425.zip, ejecute el archivo correspondiente como administrador (clic derecho en el archivo exe y seleccione Ejecutar como Administrador).

• Sistemas de 32 bits utilizan: UniversalTermsrvPatch-x86.exe
• Sistemas de 64 bits utilizan: UniversalTermsrvPatch-x64.exe.

Usted debe ver una ventana como la de arriba donde se puede parchear termsrv.dll para eliminar el límite de sesiones de Escritorio remoto concurrente y restaurar el archivo original en cualquier momento (un archivo de copia de seguridad se encuentra en C:\Windows\System32\termsrv.dll.backup’).

Después de aplicar la revisión, reinicie el sistema y ya está listo para ir.

Este error suele ser debido a que no has marcado la opción «Ejecutar tanto si el usuario inicia sesión como si no» en «Opciones de seguridad» de la pestaña «General«.

Si no marcas esta opción y no has iniciado sesión en el equipo no se ejecutará la tarea, por lo tanto es muy recomendable marcar esta opción para que la tarea programada se ejecute aunque no hayas iniciado sesión.

En este caso te solicitará usuario y contraseña con la que se ejecutará la tarea, debe ser un usuario y contraseña con permisos suficientes para la tarea que ejecutes.

Si recibe el error «Función incorrecta» en un servidor Windows Server 2008 o Windows Server 2008 R2 cuando se trata de compartir una carpeta o crear un recurso compartido de archivos a continuación se encuentra el mensaje de error «Función incorrecta» nada intuitiva.

Esto se produce porque no tiene las reglas de entrada o salida en el firewall de windows para «Compartir impresoras y archivos».

En Windows aunque tenga el firewall desactivado.

Si usted no tiene las reglas creadas de compartir carpetas nos producirá este error.

Este error es debido a no tener instalado un componente de Microsoft Windows llamado Microsoft .NET Framework o que dicho componente se ha degradado o corrompido.

La solución es simple, descargar e instalar el ultimo Framework de .NET

• Descargar Microsoft .NET Framework 4 (instalador web) – Microsoft