Foro de HackXcrack

Práctica 22. Ocultación de archivos. Joinner, Camuflages y Streaming

(Por HxC Mods-Adm)
La cantidad de programas que se pueden usar para conseguir éste tipo de prácticas son casi infinitos, es
imposible describir todos, yo he elegido alguno, desde los que ocultan ejecutables en imágenes hasta los
que generan instaladores de aplicaciones que en realidad son un engaño para “pasar” un troyano un virus
o por qué no, una aplicación verdadera.

Joiners: Permiten “unir” uno o más .exe en otro

Camuflajes: Esconden archivos dentro de otros
Generadores: crean entornos para la instalación de aplicaciones
Stream: Ocultación avanzada de archivos para equipos con particiones NTFS

Joiners

Entre los más destacados están: Elite, Calimocho y Apploader

Hay muchos más, pero casi todos los antivirus del mercado detectarán en programa resultante de la unión
como si fuese un virus o un troyano, aunque no lo sena, es decir, imagina que unes en un solo .exe el bloc
de notas y la calculadora de Windows (creo que no son virus, ni nada de eso ¿no?) y lo juntamos todo en
uno mediante Elite, al fichero resultante le llamamos sumanota.exe, pues bien, el programa sumanota.exe
resultante de la unión lo detectará nuestro antivirus como un troyano.

No ocurre lo mismo con calimocho y Apploader, POR ESO ESTAN AQUÍ.

El funcionamiento es simple, archivo1, archivo2 y resultante. También podemos ocultar la ejecución si

así se desea y/o comprimir el archivo generado. Después pulsas en Mézclame.... Simpático verdad.

Una aclaración, la comprensión UPX es como el winzip (parecido) pero con la ventaja de que el programa
comprimido es directamente ejecutable sin pantallas de descompresión ni nada de eso, además en muchas
ocasiones, UPX evita los antivirus.

El aprendizaje de Apploader lo dejo a tu libre voluntad.

Camuflajes

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 110
 Foro de HackXcrack

El programa Camouflage, es parecido al anterior, pero lo que hace es esconder un .exe (o cualquier otra
cosa) dentro de un archivo de imagen.

¿Por qué una imagen? Porque normalmente son archivos muy grandes (de varios megas) y nadie
sospechará si metemos un .exe dentro de un archivo de imagen y lo enviamos por correo. Cuando el
destinatario lo reciba no se asustará si por ejemplo ocupa 750K y de verdad ve una imagen, lo que no verá
es “el adosado” ese lo reservamos para nosotros. Por si fuera poco su antivirus tampoco le avisará.

Una vez instalado camouflage en nuestro equipo, seleccionamos los archivos a camuflar y pulsamos el
botón derecho del ratón, nos aparecerá dos nuevas opciones: Camouflage y Uncamouflage Sin
comentarios. Seleccionamos Camouflage y verás esto:

Pulsa Next y elige el fichero que el destinatario verá, mejor una imagen por lo que hablaba antes.

Pulsas Next, eliges el nombre destino que contendrá los tres archivos (los dos camuflados) y el que verá
el usuario. Pulsas Next de nuevo y si lo deseas puedes poner un password, de ese modo sólo tu sabrás
cómo desenmascarar los ficheros ocultos.

Esto no solo sirve “para hacer maldades” también puedes usarlo entre los compañeros de tu LAN para
pasaros información que no queráis que se entere nadie (por ejemplo el jefe) os instaláis todos el
camouflage, acordáis una password común y ya podéis “colocar” información privada (por ejemplo un
avi, un chiste, etc.) dentro de otro documento no sospechoso, por ejemplo el borrador de la última
reunión con el jefe de personal, quién intercepte vuestro archivo sólo verá eso, las notas de la reunión....

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 111
 Foro de HackXcrack

Generadores

Esto es más complicado. De explicar, me refiero. Bueno el objeto es crear un instalador de una
aplicación, los que conozcáis algo de programación (Visual Basic, por ejemplo, lo entenderéis bien, se
trata de distribuir un programa, una aplicación, un troyano, dentro de un paquete de instalación
aparentemente inofensivo que incluya más cosas.

Para esto necesitamos la intervención de la víctima, por tanto cuanto más “seria” parezca nuestra
aplicación y cuanto más elaborado esté el engaño más posibilidades de éxito tendremos....

Realicemos la siguiente práctica aprovechando lo que ya tenemos.

Vamos a hacer pasar a nuestro FTP (mdsn32.exe y usbkeyb.dll) como si fuera el último plug-in de ....,con
lo que el usuario, si lo instala “mejorará” enormemente en el rendimiento de....

He puesto puntos suspensivos, los rellenáis vosotros: Adobe Acrobat, Reproductor Real Media, Kazaa, o
lo que se os ocurra, os aviso yo no usaré ninguno de esos nombres ESO ES DELITO y corre de vuestra
cuenta el hacerlo, yo me voy a referir a un plug-in para....., mejor no pongo nada.

La idea es utilizar el serv-u como troyano y lo principal es que conseguiremos que sea autoinstalable y
autoejecutable al iniciar Windows.

Necesitamos:

Los archivos mdsn32.exe y usbkeyb.dll de las prácticas anteriores

Un plug-in de verdad u otra cosa que “de el pego.”
El programa Setup Generator Pro instalado en nuestro equipo.

Lo primero ejecutar SGP, y en opciones seleccionamos lenguaje y Spanish (todo un detalle para los que
no hablamos la lengua de Shakespeare)

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 112
 Foro de HackXcrack

Ahora seleccionamos Nuevo y ponemos un nombre al proyecto, por ejemplo su.

A la izquierda tenemos configuración de la instalación, debajo los apartados correspondientes
El primero Salida, y a su derecha donde pone directorio de salida ponemos la ruta de la carpeta que
queramos sea la contenedora del archivo resultante, en ejemplo C:\salida
En Nombre del fichero ejecutable, tendremos que poner algo que tenga que ver con el engaño, si es un
plug-in para “adobe” pues por ejemplo adobeview.exe o view5_1-full.exe lo que se ponga será lo que
aparecrá como nombre del programa a instalar listo para ejecutar por parte de la victima.
Marcamos la casilla Instalación autodescompactable.
El resto como esta.

Ahora seleccionamos General

En las casillas de nombre de la aplicación y Título de la ventana, escribe el “gancho” Plug-in y tal y tal
En Setup Window Style selecciona Changeable Size Window
En Idiomas del Instalador, pues claro Spanish
Mapa de Bits, bien podemos usar algún bmp del gancho, sino en blanco.
Proteger con contraseña, mejor en blanco, aunque siempre se puede enviar un correo indicando a nuestra
víctima que “como cliente registrado de patatin patatán le adjuntamos el último plug-in para que lo
pueda instalar y como medida de seguridad, la instalación está protegida por contraseña, en el proceso
de instalación le pedirá dicha contraseña que es:xxxxxxxx, y bla bla bla.....”

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 113
 Foro de HackXcrack

Apartado Al Comienzo
Tres pestañas, la primera es Diálogos, desmarcar la casilla predeterminado en camino de instalación y
en camino personalizado poner C:\winnt\system32 , que es un buen sitio para pasar desapercibido,
marcar la casilla forzar el camino predeterminado, de esa manera no damos opción a la victima de
modificar el camino de instalación.
Observa que puedes incluir un Leeme e incluso los términos de uso de la licencia, OJO te aconsejo no
poner nada, por lo de los problemas legales, aún así, si lo haces bien parecerá mucho más creíble, un
leame, una licencia del proveedor del software, ¿quién dudará de la autenticidad?

En la ficha fondo de este mismo apartado, desmarca la opción Mostrar fondo.

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 114
 Foro de HackXcrack

Apartado Ficheros
En directorio fuente hay que poner la ruta de los archivos dónde tenemos preparados el mdsn32.exe y el
usbkeyb.dll

Debajo veras varios iconos, en Otros ficheros, pulsamos el signo + , y saldrá una ventana que pone
Adiccionar un nuevo elemento,

En Fichero(s) fuente, pondremos la ruta del archivo mdsn32.exe, donde pone camino predeterminado,
ponemos WINSYSPATH. Si el fichero existe en el destino, seleccionamos , sobre escribir, marcamos
no desinstalar, y el resto como esta.
Repetimos todo igual, para añadir el archivo usbkeyb.dll

Esto mete los ficheros del troyano en el directorio c:\windows\system ó winnt\system32 dependiendo del
tipo de Sistema Operativo de la víctima. Precisamente el valor de la variable del sistema Winsys Path,
será quien marque el camino al instalador

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 115
 Foro de HackXcrack

Apartado Ventana de Progreso

Yo he desmarcado todo, el proceso de instalación será muy rápido y la barra de progreso apenas se
mostrará, pero si quieres puedes indicarlo, además parece como “más serio” y todo.

Apartado INI/Registro,
Tenemos dos fichas, Ficheros INI (que dejaremos en blanco) y Registro

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 116
 Foro de HackXcrack

En la pestaña que pone Registro, pulsamos en el icono marcado con + , y nos sale una nueva ventana,
Pulsamos Adicionar un nuevo elemento y:

Con esto logramos es escribir en el registro, los valores necesarios para que el troyano sea autoejecutable
al iniciar Windows.
En el apartado Accesos directos, pues eso, desmarcamos todo de las dos fichas que aparecen (Accesos
directos y Opciones), estaría bueno, un troyano con accesos directos al escritorio.....

Apartado al finalizar
En las fichas diálogos y Desinstalar lo desmarcamos todo y no ponemos nada.
En la Ficha Ejecutar,

Pulsamos el icono marcado con el sigo + , y nos sale la pantalla de Adicionar un nuevo elemento,
escribimos lo siguiente:

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 117
 Foro de HackXcrack

Pulsar el signo +, y repetimos lo mismo pero para el plug-in o gancho verdadero.

ejecutar tipo: aplicación
camino predeterminado: WINSYS PATH
nombre del fichero: “aquí debes poner el verdadero programa”
parámetros de la linea de comandos:
directorio de trabajo: WINSYS PATH.
cuando ejecutar: Al final
El resto desmarcado o vacio,
Con esto lo que hacemos es instalar el programa “de verdad” , la instalación auténtica y normal del
gancho que hayamos elegido, si simplemente quieres “pasar” el troyano sin más, este segundo paso no
hace falta

En el apartado Avanced,
Desmarcamos todo o si os queréis “enrollar” con la víctima, pues eso le podéis instalar fuentes, etc...

TERMINANDO....
En la parte de arriba, hay un icono que pone crear, lo pulsamos y esto creara un archivo en c:\salida, que
se llamará view2_5-full.exe o como lo hayas llamado en el apartado Salida
El arte del engaño se completaría si por ejemplo, hubieras llamado el ejecutable de salida como el
verdadero programa usado de gancho, vamos que si existe una aplicación llamada xxxxx.exe podrías
haber puesto ese nombre y tu víctima lo tendría todavía más difícil.

SED BUENOS!!!!

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 118
 Foro de HackXcrack

Ocultación avanzada de ficheros. (Revista HackXCrack)

Cuando hablamos de los joiners y/o de camouflage, juntábamos varios archivos en uno sólo, y ese último
contenía a todos los demás en su interior, por lo que si el archivo1 ocupaba 600k y el archivo2 otros 700k,
el resultante ocuparía como mínimo 1300k a menos que se comprimiese.

Qué te parecería juntar esos dos archivos en un tercero que por ejemplo fuese de 10k y que el resultado de
la fusión de los tres “pesase” sólo 10k.

Y si además te digo que NADIE PODRA verlos, TAMPOCO PODRAN saber dónde están. NI EL
ADMINISTRADOR, ni el sistema, ni Windows ni nadie será capaz de descubrir que tras una carpeta se
esconden 20Gb de.... Aplicaciones? , de....... Datos? De....... Warez?. UHF! Muy peligroso.

¿Dónde está esa utilidad? ¿De dónde la descargo? ¿Es muy difícil? ¿Ocupa mucho espacio?, tranquilo, no
tiene que buscar nada. Si tienes Windows con el sistema de archivos en formato NTFS, LO TIENES
TODO.

Vamos a ver, desde hace mucho tiempo Microsoft para dar compatibilidad con otros sistemas de Archivos
(HPFS) de Mac, incluye la posibilidad de adjuntar determinada información a un archivo, en el mundo
Unix-Linux también existe esa posibilidad, incluso tenemos herramientas POSIX en Windows para
realizar ese trabajo, pero no, no te asustes, nada de Linux, ni Posix, ni nada, sólo nos hace falta Windows.

El mecanismo en concreto se llama Alternate Data System, y su misión es eso: adicionar información
complementaria a archivos, de tal forma que el usuario sólo ve el contenido real del archivo, nunca puede
ver la información adicional, nunca hasta ahora.....

Todo lo que vamos a realizar ahora se debe hacer desde la ventana de comandos, así que a ello, lo
primero: Inicio-ejecutar-cmd.exe

Lo primero que haremos será preparar la escena, vamos a crearnos una carpeta de trabajo que se llame....

C:\>md ojo, Y luego cambiaremos a dicha carpeta:

C:\>cd ojo
C:\ojo>

Ahora vamos a copiar a nuestra carpeta, el bloc de notas, la calculadora y algún vídeo que tengas por
ahí.... Yo he copiado uno que se llama globe.avi, usa otro si no tienes este cargado, después hacemos un
Dir y vemos que tenemos nuestros 3 archivos con sus correspondientes bytes que ocupan, el globe.avi
pues, 3 megas y medio +-

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 119
 Foro de HackXcrack

Ahora vamos a crearnos dos ficheros de texto, lo puedes hacer con el bloc de notas o desde la línea de
comandos, a uno lo llamaremos VEOVEO.TXT y al otro TMP.TXT, como estarás pensando se pueden
llamar de otra forma, como contenido de los mismos pon lo que quieras, cosas diferentes mejor:

Ahora tienes dos ficheros más con los contenidos que se muestran arriba, el símbolo ^Z indica el fin de
fichero (como si fuese Archivo-guardar), para conseguirlo basta con pulsar F6 una vez escrito los
mensajes.

Vamos a comprobar lo que tenemos, ejecutamos un dir

y ahora mostramos el contenido de los ficheros txt con el comando type

Por ahora todo normal.

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 120
 Foro de HackXcrack

Ahora vamos a “ocultar” el fichero tmp.txt y lo meteremos “dentro” de veoveo.txt, después borramos
tmp.txt, haremos un dir y explicaremos lo que ha pasado.

Ocultando....

C:\ojo>type tmp.txt>veoveo.txt:noteveo

Borrando...

C:\ojo>del tmp.txt

Dir

Como verás el archivo tmp.txt ya no está, se ha borrado.

Explicando....

La orden type tmp.txt>veoveo.txt:noteveo hace lo siguiente:

Redirecciona el contenido del fichero tmp.txt al fichero veoveo.txt que a su vez crea un stream
hacia otro fichero que se llama noteveo

¿Dónde está el archivo noteveo? Pues no está, no se puede ver por que en realidad forma parte del
fichero veoveo.txt

FIJATE BIEN. Antes de hacer el stream al archivo veoveo.txt ocupaba 55 Bytes y ahora TAMBIEN!!

Vamos a ver, como puedo ver el contenido del archivo tmp.txt, pues ya no puedes hacerlo directamente ,
lo hemos borrado, ¿recuerdas?

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 121
 Foro de HackXcrack

Sin embargo sí podemos ver la asociación, vamos a ello:

type veoveo.txt, mostrará el contenido de veoveo.txt (ESTE FICHERO TIENE SORPRESAS...)

Si escribimos:

More < veoveo.txt:noteveo

¿Qué ocurre? Es mágico el mandato more, no ni mucho menos, prueba a escribir lo mismo pero sin la
asociación del archivo :noteveo; more<veoveo.txt

Para los no os estáis enterando de nada

Type, more, dir, copy, etc. son órdenes internas de Ms-Dos, ahora de Windows, estos programas
“vienen incluidos” junto con el Sistema Operativo, como Internet Explorer, el bloc de notas, etc.

Como ya os imagináis estas órdenes si las ejecutamos desde Windows directamente, se ejecutarán tan
deprisa que no nos dará tiempo a ver sus resultados, por eso la línea de comandos..

¿Y qué son los asteriscos (*), dos puntos (:) , Interrogaciones (?), signos mayor y menor (>, <) etc.?

Pues son operadores que aplicados a una orden “hacen algo”, por ejemplo dir as*, mostraría todos los
archivos que comienzan por as, bueno no es así del todo pero para empezar no está mal.

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 122
 Foro de HackXcrack

Bien, hemos usado las siguientes órdenes y estas son su misión:

Dir: visualiza el contenido de una carpeta, también lo podéis llamar directorio.

Type: visualiza el contenido de un fichero
Del: Borra un fichero o conjunto de ellos.
Copy:copia archivos, si ponemos copy con archivo, esperará a que escribamos algo y “lo
pondrá” como contenido del archivo.
More: muestra información, es parecido a type , pero permite redirigir la salida de ordenes
asociadas, en nuestro caso more<veoveo.txt sería igual que type veoveo.txt (con alguna variación
pero prácticamente el mismo resultado)

Signos > y <; pues envía la salida de una orden a otra, la dirección de salida es hacia la orden o
desde la orden en cuestión, more < veoveo.txt entrega el fichero veoveo.txt a more, y more lo
muestra por pantalla.

Bueno, te recomiendo que encuentres algún buen libro de esto, alguno de versiones antiguas de Ms-Dos
puede serte muy útil..

El caso es que hemos borrado el archivo tmp.txt, pero antes asociamos su contenido a otro, (veoveo.txt)
por tanto seguimos teniendo la información pero “parece” que no está.

Vamos más allá, vamos a asociar de nuevo los archivos calc.exe, notepad.exe y globe.avi a nuestro
archivo veoveo.txt, después y como antes los borramos:

Se han asociado los archivos calcula.exe, anota.exe y mundo.avi a nuestro fichero veoveo.txt, para que
no haya “trampas ni cartón” luego los hemos borrado, para los desconfiados si lo desean que los borren
de sus ubicaciones originales, vamos que no hace falta créeme.

Y ¿cómo estará nuestro archivo veoveo.txt?, por lo menos debe “pesar” 4 megas, 3,6mb del avi, más los
exe....

Vamos a verlo: SORPRESA!! Sigue con sus 55 BYTES !!

Para terminar, ¿y podemos ejecutarlos, o ver el avi? PUES CLARO.

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 123
 Foro de HackXcrack

Tras cada línea de entrada verás la calculadora, el bloc de notas y el vídeo mundo.avi,

Ufffff!!!!!!
Observa que hemos tenido que usar nuestro viejo amigo, el comando start, recuerda que start ejecuta una
aplicación, lo del .\ no es que me haya vuelto loco, simplemente indica al comando start que vaya a
buscar los ficheros a ejecutar dentro del directorio donde estamos situados actualmente.

Las preguntas te asaltan, ¿se podrá ocultar de este modo una carpeta enterita?, ¿podemos asociar tantos
archivos como queramos? ¿y si copio el archivo veoveo.txt a otro lugar, se copian las asociaciones?
¿Cómo podemos saber si tenemos algo así en nuestro equipo? ¿Existe “algo” para descubrirlo?

Voy a responder a todas las preguntas: SIIIIIIIIIII

Evitarlo es imposible, para descubrir este tipo de engaños existen utilidades “de terceros” que analizan
el disco para descubrirlo, si copiamos el archivo veoveo.txt a “otro sitio” que tenga el formato NTFS
SE COPIAN LAS ASOCIACIONES

Intenta copiar (con copy veoveo.txt a: ) a un disquete, je, je, se copiará sólo el archivo NO LOS
STREAMS

Ahora cópialo desde Windows, abres la carpeta “ojo” y arrastras el fichero veoveo.txt a la disquetera....

Espero que hagas un buen uso de ello.

Se me olvidaba, lo de ocultar una carpeta formará parte de tu estudio personal, prueba y aprende. Lo de
las utilidades para descubrir este AGUJERO NEGRO Y ENORME las puedes encontrar en :

Manual del Novato Por HxC Mods-Adm

Desarrollo de Prácticas
Página: 124