Ver el contenido de la carpeta "System Volume Information"

Ver el tema anterior Ver el tema siguiente Ir abajo

Ver el contenido de la carpeta "System Volume Information"

Mensaje  r32 el Sáb Oct 15, 2011 7:52 pm

S.O: XP/Vista/7 (capturas de Win XP)
Ruta de la carpeta: X:System Volume Information (Se creará la carpeta por cada partición que tengas en disco)
Atributos: Oculto y como archivo de sistema
Información:
Entre otros datos contiene los puntos de restauración del sistema. Se
crea la carpeta dependiendo si esta activa la opción:
* Restaurar sistema

Por defecto se crean dos archivos dentro de la carpeta;
* MountPointManagerRemoteDatabase
* tracking.log

Adicionalmente podemos encontrar una carpeta llamada:
* _restore {.....}



Ahí, clasificado por carpetas estarán todos los puntos con nombres como: (RP= Restore Point)
RP18
RP24
RP26
......




Depende mucho de los puntos de restauración que se tengan creados, habrán mas o menos carpetas.
Lo que a nosotros nos interesa es buscar ahí los malware que se ubican en esta carpeta para pasar inadvertidos al usuario.
Un
antivirus (supuestamente) tendría que detectar un malware alojado en
esa carpeta siempre que este en su base, aunque por heurística tambien
puede detectarlo.
Pero? Que pasa si nuestro antivirus no localiza
nada y ante la duda queremos ver el contenido e investigar un poco por
nuestra cuenta...
Por defecto esta carpeta se trata como si fuese de sistema y por vias normales sería imposible acceder a ella:



Para acceder podemos hacer lo siguiente:
Panel de control --> Opciones de carpeta --> petaña VER -->

Marcar:Mostrar todos los archivos y carpetas ocultos
Desmarcar: Ocultar archivos protegidos del sistema operativo (recomendado)
Desmarcar: Utilizar uso compartido de archivos (recomendado)

Aplicar y aceptar.
En la carpeta "System Volume Information" hacemos click derecho y pestaña "Seguridad"
Aparecerá esta ventana:



Click en "Agregar", abajo/izquierda clickar en "Avanzadas" y en la nueva ventana clickar en "Buscar ahora"
Elige la cuenta con la que estas en tu PC, ya sea con nombre por defecto Administrador o el nombre que pusiste.
Click en Aceptar. Ahora vemos que se añadió nuestro usuario, clickamos en Aceptar tambien y nos devuelve a la ventana
de "Propiedades de System Volume Information", aqui tambien se añadió nuestro usuario, Aplicar y Aceptar.

Ahora
que podemos acceder a la carpeta, ya esto dependerá de como quieras
hacerlo, de forma automática analizando los archivos con tus tools o
dependiendo de los archivos que contega con un editor hexadecimal.

*******

Si el archivo incluye rutinas antidebugging y no se deja abrir, edita la extensión del archivo:
virus.exe --> virus.ex_
Acepta la advertencia y podrás leer las strgins del ejecutable.


Si
necesitas eliminar los puntos de restauracion del sistema y desde las
opciones de "Restaurar sistema" no te deja desactivar la unidad C:,



siempre puedes hacerlo desde las opciones de servicios.
Para entrar a la consola, Inicio --> Ejecutar --> Services.msc



Buscar la siguiente entrada: Servicio de restauracion del sistema
Doble click para modificar los valores y Parar el servicio y pasarlo a Manual, ya cuando te interese o por crear nuevos puntos lo restauras.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.