Ir al contenido


Foto

Trabajar con la FAT32 (o como vacunar un disco extraible)


  • Por favor identifícate para responder
6 respuestas en este tema

#1 seoane

seoane

    Advanced Member

  • Administrador
  • 1.259 mensajes
  • LocationEspaña

Escrito 29 abril 2012 - 05:42

Acabo de publicar en mi pagina web dos artículos en los que muestro como acceder directamente a la FAT (File Allocation Table) de un disco extraible (disco, camara de fotos, reproductor de mp3, etc ...) .

Leer información de la partición y la estructura de ficheros de un disco, o de la imagen de un disco
http://delphi.jmrds.com/?q=node/74

Vacunar disco extraible contra virus que modifican el fichero "autorun.inf"
http://delphi.jmrds.com/?q=node/75

El objetivo de este serie de artículos es hacer un programa que me permita extraer ficheros de una imagen de disco creada con Dump, pero para eso he tenido que investigar primero a fondo la FAT, y como resultado van saliendo estas pequeñas utilidades.

Saludos, y perdón por el spam  :D


  • 0

#2 egostar

egostar

    missing my father, I love my mother.

  • Administrador
  • 14.459 mensajes
  • LocationMéxico

Escrito 29 abril 2012 - 08:37

Muy interesantes siempre tus utilitarios mi buen amigo seoane :)

Saludos

PD. Interesantes las notas de precuación :D :D :D

  • 0

#3 escafandra

escafandra

    Advanced Member

  • Administrador
  • 4.110 mensajes
  • LocationMadrid - España

Escrito 30 abril 2012 - 12:24

Excelente  (y).

Me ha recordado a cuando yo jugaba con la FAT 16 en tiempos del DOS y a las técnicas de protección Láser de disquetes, que mascaban un cluster como erróneo. La desprotección era marcar el mismo cluster en el disquete copia o cambiar la instrucción jmp encargada de desviar el código en caso de "falsedad" del programa.


Saludos.
  • 0

#4 seoane

seoane

    Advanced Member

  • Administrador
  • 1.259 mensajes
  • LocationEspaña

Escrito 30 abril 2012 - 03:44

PD. Interesantes las notas de precuación :D :D :D


El programa original no las llevaba pero según lo estaba subiendo a la web pensé que algún "manazas" iba a terminar rompiendo un usb y echándome la culpa a mi. En los foros todos somos "profesionales" (más o menos  ;) ) y no hay que andar con tantas precauciones, pero en paginas web accesibles desde google hay que tener mas cuidado.

En realidad no hay demasiado riesgo. El único "peligro" es que el programa de la vacuna se equivoque al escribir y corrompa la FAT. Es muy improbable que esto suceda, pero puede solucionarse formateando el disco desde el "administrador de discos" (lo se porque mientras experimentaba rompí la FAT varias veces  :D )

Me ha recordado a cuando yo jugaba con la FAT 16 en tiempos del DOS y a las técnicas de protección Láser de disquetes, que mascaban un cluster como erróneo. La desprotección era marcar el mismo cluster en el disquete copia o cambiar la instrucción jmp encargada de desviar el código en caso de "falsedad" del programa.


En este caso la protección es la misma que utiliza "Panda USB Vaccine "  (aquí lo puedo decir  ;) ). El funcionamiento es simple, en cada entrada de un directorio se utiliza un registro de 32 bytes para guardar el nombre, extensión, atributos, etc ... de cada fichero. Dentro de ese registro hay un byte que contiene los atributos (uno por cada bit), los conocidos "solo lectura", oculto, sistema. Pero hay un par de ellos menos conocidos y poco documentados, uno de ellos es el bit "Device" del que se sabe poco, de hecho microsoft lo único que dice es que no se debe tocar  (como si fuéramos a hacerles caso  :D ), pero el hecho es que si se marca con un 1 ese bit el fichero queda completamente inaccesible, no se puede ni leer, ni modificar, ni borrar.

Como dije esta protección no es la panacea, ya que cualquier programador con un poco de habilidad puede evitarla, pero el el hecho de que se necesiten herramientas especiales para hacerlo les pone un poco mas difícil el trabajo, y la experiencia nos dice que los fabricantes de malware prefieren ir a lo fácil, al fin y al cabo tienen millones de victimas para escoger entre las que no se protegen.

Saludos

PD: El mismo truco se puede usar para proteger un fichero privado de los ojos curiosos, solo seria necesario cambiar algunas cosillas ...
  • 0

#5 egostar

egostar

    missing my father, I love my mother.

  • Administrador
  • 14.459 mensajes
  • LocationMéxico

Escrito 30 abril 2012 - 07:43

PD: El mismo truco se puede usar para proteger un fichero privado de los ojos curiosos, solo seria necesario cambiar algunas cosillas ...


Eso si que es más interesante  :D (h) ^o|

Saludos  *-)
  • 0

#6 ELKurgan

ELKurgan

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 566 mensajes
  • LocationEspaña

Escrito 30 abril 2012 - 10:46

Excelente aporte, compañero.

Muchas gracias y un saludo

(y) (y)
  • 0

#7 djkjallo

djkjallo

    Newbie

  • Miembros
  • Pip
  • 4 mensajes

Escrito 22 junio 2016 - 09:58

Interesante tus utilitarios amigo.. (y)


  • 0




IP.Board spam blocked by CleanTalk.