Symantec Endpoint Protection – crypt32 errors
december 2010 by abeggi
One of the most procrastinated issues I had at a Customer’s, was the proliferation of errors like these (as shown in servers/clients Event Viewer):
Event Type: Error
Event Source: crypt32
Event Category: None
Event ID: 8
Description:
Failed auto update retrieval of third-party root list sequence number from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> with error: This network connection does not exist.
Event Type: Error
Event Source: crypt32
Event Category: None
Event ID: 11
Description:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
There are several posts mentioning the issue, this one pointed me in the right direction. Basically, because of how SEP components communicate, Windows is triggered into updating the list of trusted root Certification Authorities. It tries to do so through the Internet using the Computer account. The latter may not have any proxy configured. Being unable to reach outside, the host gets flooded by crypt32 errors.
In order to solve the issue, I decided to deploy a valid proxy configuration, for the Computer account (SYSTEM user), on a subset of the Domain’s hosts.
One of the ways to script that is the “proxycfg -u” command1 that works by copying the current user proxy settings to the SYSTEM’s registry. Sounds cool but if the current user is not a member of the local Administrators group, he won’t have the necessary rights. The following script instead, can be launched via Group Policy2 during operating system startup, and since it’s a startup script rather than a login one, it will run with administrative privileges.
Nothing fancy in the below source. It creates the registry key if it doesn’t exist, then sets the right value for WinHttpSettings which I obtained this way:
use “proxycfg -u” on a test host
use the Registry editor to export the contents of HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
The value is of type REG_BINARY. Since the RegWrite API (method of class WScript.Shell) cannot deal with binary values, WMI (StdRegProv registry provider) needs to be used. Also, SetBinaryValue expects an array of decimal values, while Regedit exports them as hexadecimal digits (you’ll have to take care of the conversion yourself).
On Error Resume Next
Const HKEY_LOCAL_MACHINE = &H80000002
strPath = "SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections"
strKey = "WinHttpSettings"
strValue = "24,0,0,0,0,0,0,0,3,0,0,0,19,0,0,0,112,114,111,120,121,46,99,117,115,116,46,108,97,110,58,56,48,56,48,47,0,0,0,49,48,46,42,46,42,46,42,59,115,101,114,118,101,114,50,48,59,115,101,114,118,101,114,50,48,46,42,59,42,46,99,117,115,116,46,108,97,110,59,60,108,111,99,97,108,62"
strMachineName = "."
arrValues = Split(strValue,",")
strMoniker = "winMgmts:\\" & strMachineName & "\root\default:StdRegProv"
Set oReg = GetObject(strMoniker)
rv = oReg.CreateKey(HKEY_LOCAL_MACHINE, strPath)
rv = oReg.SetBinaryValue(HKEY_LOCAL_MACHINE, strPath, strKey, arrValues)
If the scripts works as it should, you’ll be greeted by these events:
Event Type: Information
Event Source: crypt32
Event Category: None
Event ID: 7
Description:
Successful auto update retrieval of third-party root list sequence number from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
Event Type: Information
Event Source: crypt32
Event Category: None
Event ID: 2
Description:
Successful auto update retrieval of third-party root list cab from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
And, hopefully, crypt32 errors will be gone for good.
See Using the WinHTTP Proxy Configuration Utility ↩
Computer Configuration, Windows Settings, Scripts, Startup ↩
IT
Group_Policy
Registry
Symantec
Troubleshooting
VBScript
Windows
from google
Event Type: Error
Event Source: crypt32
Event Category: None
Event ID: 8
Description:
Failed auto update retrieval of third-party root list sequence number from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> with error: This network connection does not exist.
Event Type: Error
Event Source: crypt32
Event Category: None
Event ID: 11
Description:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
There are several posts mentioning the issue, this one pointed me in the right direction. Basically, because of how SEP components communicate, Windows is triggered into updating the list of trusted root Certification Authorities. It tries to do so through the Internet using the Computer account. The latter may not have any proxy configured. Being unable to reach outside, the host gets flooded by crypt32 errors.
In order to solve the issue, I decided to deploy a valid proxy configuration, for the Computer account (SYSTEM user), on a subset of the Domain’s hosts.
One of the ways to script that is the “proxycfg -u” command1 that works by copying the current user proxy settings to the SYSTEM’s registry. Sounds cool but if the current user is not a member of the local Administrators group, he won’t have the necessary rights. The following script instead, can be launched via Group Policy2 during operating system startup, and since it’s a startup script rather than a login one, it will run with administrative privileges.
Nothing fancy in the below source. It creates the registry key if it doesn’t exist, then sets the right value for WinHttpSettings which I obtained this way:
use “proxycfg -u” on a test host
use the Registry editor to export the contents of HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
The value is of type REG_BINARY. Since the RegWrite API (method of class WScript.Shell) cannot deal with binary values, WMI (StdRegProv registry provider) needs to be used. Also, SetBinaryValue expects an array of decimal values, while Regedit exports them as hexadecimal digits (you’ll have to take care of the conversion yourself).
On Error Resume Next
Const HKEY_LOCAL_MACHINE = &H80000002
strPath = "SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections"
strKey = "WinHttpSettings"
strValue = "24,0,0,0,0,0,0,0,3,0,0,0,19,0,0,0,112,114,111,120,121,46,99,117,115,116,46,108,97,110,58,56,48,56,48,47,0,0,0,49,48,46,42,46,42,46,42,59,115,101,114,118,101,114,50,48,59,115,101,114,118,101,114,50,48,46,42,59,42,46,99,117,115,116,46,108,97,110,59,60,108,111,99,97,108,62"
strMachineName = "."
arrValues = Split(strValue,",")
strMoniker = "winMgmts:\\" & strMachineName & "\root\default:StdRegProv"
Set oReg = GetObject(strMoniker)
rv = oReg.CreateKey(HKEY_LOCAL_MACHINE, strPath)
rv = oReg.SetBinaryValue(HKEY_LOCAL_MACHINE, strPath, strKey, arrValues)
If the scripts works as it should, you’ll be greeted by these events:
Event Type: Information
Event Source: crypt32
Event Category: None
Event ID: 7
Description:
Successful auto update retrieval of third-party root list sequence number from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
Event Type: Information
Event Source: crypt32
Event Category: None
Event ID: 2
Description:
Successful auto update retrieval of third-party root list cab from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
And, hopefully, crypt32 errors will be gone for good.
See Using the WinHTTP Proxy Configuration Utility ↩
Computer Configuration, Windows Settings, Scripts, Startup ↩
december 2010 by abeggi
Comandi testuali per i sistemi Windows
october 2010 by abeggi
Al lavoro, spesso mi capita di dover eseguire le stesse operazioni su più server, più volte alla settimana. La maggior parte di queste operazioni riguardano utilità di sistema di Windows, come la gestione utenti di Active Directory, o quella del DNS od altro ancora. Certo, un collegamento sul desktop è comodo, ma in talune situazioni può tornare decisamente comodo (e più veloce) conoscere il nome degli eseguibili relativi ad un determinato pannello MMC, piuttosto che l’apposita applicazione contenuta nel Pannello di Controllo.
Quello che segue è un elenco della maggior parte di questi comandi, tutti lanciabili direttamente dal pannello “Esegui” situato nello Start Menu di Windows. Alcuni di questi comandi possono essere distruttivi, portando addirittura alla formattazione del disco ed alla conseguente perdita di dati, per cui usateli solo se ritenete di essere in grado di farlo.
Panello di Controllo
Utilities e Applicazioni
Gestione del disco
Gestione delle connessioni
Miscellanea
Panello di Controllo
CONTROL: apre la finestra del Pannello di Controllo
CONTROL ADMINTOOLS: Avvia gli Strumenti di amministrazione
CONTROL KEYBOARD: avvia le proprietà della tastiera
CONTROL FOLDERS: apre le proprietà di visualizzazione delle cartelle
CONTROL FONTS: apre il pannello di gestione dei caratteri
CONTROL INTERNATIONAL oppure INTL.CPL: apre le Opzioni internazionali e della lingua
CONTROL MOUSE or MAIN.CPL: avvia le opzioni del mouse
CONTROL USERPASSWORDS: avvia la gestione utenti
CONTROL USERPASSWORDS2 or NETPLWIZ: avvia la gestione utenti avanzata
CONTROL PRINTERS: pannello di controllo delle stampanti
APPWIZ.CPL: Installazione applicazioni (su XP) o Programmi e funzionalità (su Vista/7)
OPTIONALFEATURES: gestione delle funzionalità aggiuntive di Windows
DESK.CPL: Impostazioni dello schermo
HDWWIZ.CPL: avvia il wizard di riconoscimento dell’hardware
IRPROPS.CPL: strumento per la gestione delle porte infrarosso
JOY.CP: impostazioni dei controller di gioco (joypad)
MMSYS.CPL: Proprietà e gestione dell’audio. Scheda Volume
SYSDM.CPL: Gestione del sistema
TELEPHON.CPL: Impostazioni del modem
TIMEDATE.CPL: Regolazioni di data e ora
ACCESS.CPL: avvia le impostazioni di Accessibilità
POWERCFG.CPL: Gestione energia
CERTMGR.MSC: strumento di gestione dei certificati
COMPMGMT.MSC: Gestrione computer
COMEXP.MSC o DCOMCNFG: avvia la console di gestione dei Servizi componenti
DEVMGMT.MSC: Gestione dispositivi
EVENTVWR o EVENTVWR.MSC: avvia l’Event Viewer
FSMGMT.MSC: gestione delle Cartelle condivise
SERVICES.MSC: avvia la console di gestione dei Servizi
TASKSCHD.MSC o CONTROL SCHEDTASKS: Operazioni pianificate
GPEDIT.MSC: gestione delle Policy di gruppo
LUSRMGR.MSC: gestione utenti e gruppi locali
SECPOL.MSC: gestione delle Policy locali
PERFMON o PERFMON.MSC: avvia il Performance monitor
MMC: apre una console vuota
MDSCHED: avvia il tool di diagnostica della memoria
DXDIAG: avvia il tool di diagnostica delle librerie DirectX
ODBCAD32: ODBC Data source Administrator
REGEDIT o REGEDT32: Registry Editor
DRWTSN32: avvia Dr. Watson
CLICONFG: Utilità di rete del client SQL
UTILMAN: Utility Manager
COLORCPL: Gestione colori
CREDWIZ: Backup e ripristino dei nomi utente e delle password
MOBSYNC: Centro sincronizzazione
MSCONFIG: Utility Configurazione di sistema
Utilities ed applicazioni
EPLORER: Avvia Windows Explorer
IEXPLORER: Avvia Internet explorer
CHARMAP: Mappa caratteri
WRITE: WordPad
NOTEPAD: Blocco note
CALC: Calcolatrice
WMPLAYER: Windows Media Player
MOVIEMK: Windows Movie Maker
OSK: on-screen Keyboard
MAGNIFY: Lente d’ingrandimento
DIALER: Compositore telefonico
MSINFO32: System Information
MRT : Strumento di rimozione del malware
Taskmgr : Task Manager
CMD: apre un prompt dei comandi
SIDEBAR: barra degli strumenti di Windows Vista
Sigverif : Strumento di verifica della firma dei files
Winver : Finestra con la versione attuale di Windows
FSQUIRT: Bluetooth Transfer Wizard
IExpress Avvia il wizard per la creazione di archivi auto estraenti
MBLCTR: Centro PC Portatile (solo su PC portatili; solo su Vista e 7)
MSRA : Assistenza remota di Windows
Mstsc : Gestione desktop remoto
MSDT: Strumento di diagnostica supporto tecnico Windows
WINWORD : avvia Word (se presente)
Gestione del disco
DISKMGMT.MSC: Avvia Gestione disco
CLEANMGR: Avvia Pulizia disco
DFRG.MSC: Avvia lo strumento di deframmentazione del disco
CHKDSK: Analisi completa delle partizioni
DISKPART: Strumento di partizionamento (ATTENZIONE: PERICOLO DI DISTRUZIONE DEI DATI)
Gestione delle connessioni
IPCONFIG: elenca le configurazioni di tutti gli indirizzi IP sul PC (per approfondire, usate IPCONFIG/? in un prompt dei comandi)
INETCPL.CPL: Proprietà Internet
FIREWALL.CPL: Windows Firewall
NCPA.CLP: utilissimo per Vista e Windows 7, apre il pannello di gestione delle connessioni di rete
Miscellanea
LOGOFF: Chiude la sessione corrente
SHUTDOWN: Spegne Windows
SHUTDOWN-A: Interrompe lo spegnimento
%WINDIR% o %SYSTEMROOT%: Directory in cui è installato Windows
%PROGRAMFILES%: Cartella “Programmi”
%USERPROFILE%: Apre il profilo dell’utente correntemente loggato al sistema
%HOMEDRIVE%: Punta Windows Explorer sul disco in cui è installato Windows (solitamente, C:)
%HOMEPATH%: Porta alla cartella home dell’utente loggato al sistema
%TEMP%: La cartella TEMP
Dovrebbe esserci tutto il necessario, e anche qualcosa di più Sentitevi comunque liberi di aggiungere ulteriori informazioni a questa lista, utilizzando i commenti qui sotto.
Via Kioskea.net
Continua la lettura di Comandi testuali per i sistemi Windows su Lo Skyblog
Computer
Tips_&_Tricks
tips
Windows
from google
Quello che segue è un elenco della maggior parte di questi comandi, tutti lanciabili direttamente dal pannello “Esegui” situato nello Start Menu di Windows. Alcuni di questi comandi possono essere distruttivi, portando addirittura alla formattazione del disco ed alla conseguente perdita di dati, per cui usateli solo se ritenete di essere in grado di farlo.
Panello di Controllo
Utilities e Applicazioni
Gestione del disco
Gestione delle connessioni
Miscellanea
Panello di Controllo
CONTROL: apre la finestra del Pannello di Controllo
CONTROL ADMINTOOLS: Avvia gli Strumenti di amministrazione
CONTROL KEYBOARD: avvia le proprietà della tastiera
CONTROL FOLDERS: apre le proprietà di visualizzazione delle cartelle
CONTROL FONTS: apre il pannello di gestione dei caratteri
CONTROL INTERNATIONAL oppure INTL.CPL: apre le Opzioni internazionali e della lingua
CONTROL MOUSE or MAIN.CPL: avvia le opzioni del mouse
CONTROL USERPASSWORDS: avvia la gestione utenti
CONTROL USERPASSWORDS2 or NETPLWIZ: avvia la gestione utenti avanzata
CONTROL PRINTERS: pannello di controllo delle stampanti
APPWIZ.CPL: Installazione applicazioni (su XP) o Programmi e funzionalità (su Vista/7)
OPTIONALFEATURES: gestione delle funzionalità aggiuntive di Windows
DESK.CPL: Impostazioni dello schermo
HDWWIZ.CPL: avvia il wizard di riconoscimento dell’hardware
IRPROPS.CPL: strumento per la gestione delle porte infrarosso
JOY.CP: impostazioni dei controller di gioco (joypad)
MMSYS.CPL: Proprietà e gestione dell’audio. Scheda Volume
SYSDM.CPL: Gestione del sistema
TELEPHON.CPL: Impostazioni del modem
TIMEDATE.CPL: Regolazioni di data e ora
ACCESS.CPL: avvia le impostazioni di Accessibilità
POWERCFG.CPL: Gestione energia
CERTMGR.MSC: strumento di gestione dei certificati
COMPMGMT.MSC: Gestrione computer
COMEXP.MSC o DCOMCNFG: avvia la console di gestione dei Servizi componenti
DEVMGMT.MSC: Gestione dispositivi
EVENTVWR o EVENTVWR.MSC: avvia l’Event Viewer
FSMGMT.MSC: gestione delle Cartelle condivise
SERVICES.MSC: avvia la console di gestione dei Servizi
TASKSCHD.MSC o CONTROL SCHEDTASKS: Operazioni pianificate
GPEDIT.MSC: gestione delle Policy di gruppo
LUSRMGR.MSC: gestione utenti e gruppi locali
SECPOL.MSC: gestione delle Policy locali
PERFMON o PERFMON.MSC: avvia il Performance monitor
MMC: apre una console vuota
MDSCHED: avvia il tool di diagnostica della memoria
DXDIAG: avvia il tool di diagnostica delle librerie DirectX
ODBCAD32: ODBC Data source Administrator
REGEDIT o REGEDT32: Registry Editor
DRWTSN32: avvia Dr. Watson
CLICONFG: Utilità di rete del client SQL
UTILMAN: Utility Manager
COLORCPL: Gestione colori
CREDWIZ: Backup e ripristino dei nomi utente e delle password
MOBSYNC: Centro sincronizzazione
MSCONFIG: Utility Configurazione di sistema
Utilities ed applicazioni
EPLORER: Avvia Windows Explorer
IEXPLORER: Avvia Internet explorer
CHARMAP: Mappa caratteri
WRITE: WordPad
NOTEPAD: Blocco note
CALC: Calcolatrice
WMPLAYER: Windows Media Player
MOVIEMK: Windows Movie Maker
OSK: on-screen Keyboard
MAGNIFY: Lente d’ingrandimento
DIALER: Compositore telefonico
MSINFO32: System Information
MRT : Strumento di rimozione del malware
Taskmgr : Task Manager
CMD: apre un prompt dei comandi
SIDEBAR: barra degli strumenti di Windows Vista
Sigverif : Strumento di verifica della firma dei files
Winver : Finestra con la versione attuale di Windows
FSQUIRT: Bluetooth Transfer Wizard
IExpress Avvia il wizard per la creazione di archivi auto estraenti
MBLCTR: Centro PC Portatile (solo su PC portatili; solo su Vista e 7)
MSRA : Assistenza remota di Windows
Mstsc : Gestione desktop remoto
MSDT: Strumento di diagnostica supporto tecnico Windows
WINWORD : avvia Word (se presente)
Gestione del disco
DISKMGMT.MSC: Avvia Gestione disco
CLEANMGR: Avvia Pulizia disco
DFRG.MSC: Avvia lo strumento di deframmentazione del disco
CHKDSK: Analisi completa delle partizioni
DISKPART: Strumento di partizionamento (ATTENZIONE: PERICOLO DI DISTRUZIONE DEI DATI)
Gestione delle connessioni
IPCONFIG: elenca le configurazioni di tutti gli indirizzi IP sul PC (per approfondire, usate IPCONFIG/? in un prompt dei comandi)
INETCPL.CPL: Proprietà Internet
FIREWALL.CPL: Windows Firewall
NCPA.CLP: utilissimo per Vista e Windows 7, apre il pannello di gestione delle connessioni di rete
Miscellanea
LOGOFF: Chiude la sessione corrente
SHUTDOWN: Spegne Windows
SHUTDOWN-A: Interrompe lo spegnimento
%WINDIR% o %SYSTEMROOT%: Directory in cui è installato Windows
%PROGRAMFILES%: Cartella “Programmi”
%USERPROFILE%: Apre il profilo dell’utente correntemente loggato al sistema
%HOMEDRIVE%: Punta Windows Explorer sul disco in cui è installato Windows (solitamente, C:)
%HOMEPATH%: Porta alla cartella home dell’utente loggato al sistema
%TEMP%: La cartella TEMP
Dovrebbe esserci tutto il necessario, e anche qualcosa di più Sentitevi comunque liberi di aggiungere ulteriori informazioni a questa lista, utilizzando i commenti qui sotto.
Via Kioskea.net
Continua la lettura di Comandi testuali per i sistemi Windows su Lo Skyblog
october 2010 by abeggi
Detecting malware using Windows Auditing events
february 2010 by abeggi
This post1 explains how to use nmap and smb-check-vulns to scan a network in search of Conficker infected hosts. I thought that the whole Conficker case was over, but hopefully some of the measures I took to deal with it almost an year ago, will still be relevant to other kinds of malware. And, also, the method I’ll show you here differs from the nmap one in that the latter is active, whereas mine is passive. Actively probing an host for vulnerabilities could be very very much alike “exploiting” it as malware does, and have similar effects. For instance, a service/process could crash, making it not always advisable to run active scans on your servers subnet. Passive analysis, on the other hand, unobtrusively collects clues about who’s misbehaving.
During the Conficker/Downadup outburst, we observed that:
Antivirus wasn’t always able to detect/stop it.
The virus was copying files in known directories (C:\WINDOWS\SYSTEM32) on about to be infected machines.
Security patched hosts were still subject to the remote malicious file copying routine. The copy could either succeed or fail, depending on which permissions had the user that “runs” the virus. The copy in itself doesn’t pose any security concern. Even if no A/V is active on the destination host, but virus exploitable flaws have been patched, malware won’t be able to activate itself. Otherwise, the A/V would remove suspect files as soon as they are caught, without interfering with our detection purposes.
This behaviour makes it possible to use a “honeypot” approach. The detecting server can be any production host provided that it is security patched and A/V protected. You could, as we did, choose a Domain Controller and:
Run Administrative Tools → Domain Controller Security Policy
Modify the Audit Policy, enabling tracking of successful logon events and object access. By default the OS will only log failures, but that’s not enough.
Object Access is activated at a file/directory level. Open up the Properties of a directory you know is accessed by the virus, click on Security, then Advanced. The Auditing tab is what you’re interested in. Set things up so that any “Create File/Write Data” attempt of Type “Success” will be logged. The semantics about how auditing settings are propagated from parent to child works in the same way as NFTS permissions.
From this point on, you should monitor the honeypot server’s Security Event Log. I wrote a Perl script to do it for me. It works by selecting events with ID 560 and 540, extracting their text and printing just the needed info.
Let’s look at how it’s used (the only parameter is the hostname/address of the honeypot server):
C:\loganalysis>perl ddloganalysis.pl honeypot-srv.domain.lan > ddlog.txt
Skimming through the generated log, you’ll notice the files being dropped into C:\WINDOWS\system32 (or any directory you set up for auditing), the user that actually created them and, before (time-wise), from which address the user is coming.
17/03/2009 16.26.19 560 : C:\WINDOWS\system32\onevthx.vr (Administrator)
17/03/2009 16.26.18 540 : (10.1.1.94 - Administrator)
17/03/2009 15.35.24 560 : C:\WINDOWS\system32\onevthx.vr (SpectrumLT)
17/03/2009 15.35.24 540 : (10.6.3.6 - SpectrumLT)
We successfully used the script to pinpoint the rogue hosts. Deeming it useful, here it is:
#!perl
use strict;
use Win32::EventLog;
use POSIX qw ( strftime );
my @matches = (
#'job$', # useless, since scheduled tasks are always created by SYSTEM
'system32',
'eicar.com'
);
die "Usage:\n$0 servername" unless $ARGV[0];
my $ev=Win32::EventLog->new('Security', $ARGV[0])
or die "Can't open EventLog\n";
my $recs;
$ev->GetNumber($recs)
or die "Can't get number of EventLog records\n";
my $base;
$ev->GetOldest($base)
or die "Can't get number of oldest EventLog record\n";
sub getts($) {
return strftime '%d/%m/%Y %H.%M.%S', (localtime shift);
}
my @progress = ('-','\','|','/','-','\','|','/');
my $x = $recs-1;
my $h;
while ($x >= 0) {
$ev->Read(EVENTLOG_FORWARDS_READ|EVENTLOG_SEEK_READ,
$base + $x,
$h)
or die "Can't read EventLog entry #$x\n";
print STDERR $progress[$#progress - ($x % @progress)] . "\r";
if ($h->{Source} eq 'Security' and ($h->{EventID} == 560 or $h->{EventID} == 540)) {
Win32::EventLog::GetMessageText($h);
if ($h->{EventID} == 560) {
$h->{Message} =~ /Object Name:[\t ]*(.*?)\r/gis;
my $filename = $1;
$h->{Message} =~ /Client User Name:[\t ]*(.*?)\r/gis;
my $clientusername = $1;
if ($filename) {
if (grep { my $m = $_; $filename =~ /$m/i} @matches) {
printf "%s %5d : %s (%s)\n", getts($h->{TimeGenerated}), $h->{EventID}, $filename, $clientusername;
}
}
} elsif ($h->{EventID} == 540) {
$h->{Message} =~ /User Name:[\t ]*(.*?)\r/gis;
my $username = $1;
$h->{Message} =~ /Workstation Name:[\t ]*(.*?)\r/gis;
my $workstation = $1;
$h->{Message} =~ /Source Network Address:[\t ]*(.*?)\r/gis;
my $addr = $1;
printf "%s %5d : %s (%s - %s)\n", getts($h->{TimeGenerated}), $h->{EventID}, $workstation, $addr, $username
if $workstation or $addr;
}
}
$x--;
}
exit;
In italian, sorry. Look here for an english equivalent and here for more info. ↩
IT
Malware
Perl
Windows
from google
During the Conficker/Downadup outburst, we observed that:
Antivirus wasn’t always able to detect/stop it.
The virus was copying files in known directories (C:\WINDOWS\SYSTEM32) on about to be infected machines.
Security patched hosts were still subject to the remote malicious file copying routine. The copy could either succeed or fail, depending on which permissions had the user that “runs” the virus. The copy in itself doesn’t pose any security concern. Even if no A/V is active on the destination host, but virus exploitable flaws have been patched, malware won’t be able to activate itself. Otherwise, the A/V would remove suspect files as soon as they are caught, without interfering with our detection purposes.
This behaviour makes it possible to use a “honeypot” approach. The detecting server can be any production host provided that it is security patched and A/V protected. You could, as we did, choose a Domain Controller and:
Run Administrative Tools → Domain Controller Security Policy
Modify the Audit Policy, enabling tracking of successful logon events and object access. By default the OS will only log failures, but that’s not enough.
Object Access is activated at a file/directory level. Open up the Properties of a directory you know is accessed by the virus, click on Security, then Advanced. The Auditing tab is what you’re interested in. Set things up so that any “Create File/Write Data” attempt of Type “Success” will be logged. The semantics about how auditing settings are propagated from parent to child works in the same way as NFTS permissions.
From this point on, you should monitor the honeypot server’s Security Event Log. I wrote a Perl script to do it for me. It works by selecting events with ID 560 and 540, extracting their text and printing just the needed info.
Let’s look at how it’s used (the only parameter is the hostname/address of the honeypot server):
C:\loganalysis>perl ddloganalysis.pl honeypot-srv.domain.lan > ddlog.txt
Skimming through the generated log, you’ll notice the files being dropped into C:\WINDOWS\system32 (or any directory you set up for auditing), the user that actually created them and, before (time-wise), from which address the user is coming.
17/03/2009 16.26.19 560 : C:\WINDOWS\system32\onevthx.vr (Administrator)
17/03/2009 16.26.18 540 : (10.1.1.94 - Administrator)
17/03/2009 15.35.24 560 : C:\WINDOWS\system32\onevthx.vr (SpectrumLT)
17/03/2009 15.35.24 540 : (10.6.3.6 - SpectrumLT)
We successfully used the script to pinpoint the rogue hosts. Deeming it useful, here it is:
#!perl
use strict;
use Win32::EventLog;
use POSIX qw ( strftime );
my @matches = (
#'job$', # useless, since scheduled tasks are always created by SYSTEM
'system32',
'eicar.com'
);
die "Usage:\n$0 servername" unless $ARGV[0];
my $ev=Win32::EventLog->new('Security', $ARGV[0])
or die "Can't open EventLog\n";
my $recs;
$ev->GetNumber($recs)
or die "Can't get number of EventLog records\n";
my $base;
$ev->GetOldest($base)
or die "Can't get number of oldest EventLog record\n";
sub getts($) {
return strftime '%d/%m/%Y %H.%M.%S', (localtime shift);
}
my @progress = ('-','\','|','/','-','\','|','/');
my $x = $recs-1;
my $h;
while ($x >= 0) {
$ev->Read(EVENTLOG_FORWARDS_READ|EVENTLOG_SEEK_READ,
$base + $x,
$h)
or die "Can't read EventLog entry #$x\n";
print STDERR $progress[$#progress - ($x % @progress)] . "\r";
if ($h->{Source} eq 'Security' and ($h->{EventID} == 560 or $h->{EventID} == 540)) {
Win32::EventLog::GetMessageText($h);
if ($h->{EventID} == 560) {
$h->{Message} =~ /Object Name:[\t ]*(.*?)\r/gis;
my $filename = $1;
$h->{Message} =~ /Client User Name:[\t ]*(.*?)\r/gis;
my $clientusername = $1;
if ($filename) {
if (grep { my $m = $_; $filename =~ /$m/i} @matches) {
printf "%s %5d : %s (%s)\n", getts($h->{TimeGenerated}), $h->{EventID}, $filename, $clientusername;
}
}
} elsif ($h->{EventID} == 540) {
$h->{Message} =~ /User Name:[\t ]*(.*?)\r/gis;
my $username = $1;
$h->{Message} =~ /Workstation Name:[\t ]*(.*?)\r/gis;
my $workstation = $1;
$h->{Message} =~ /Source Network Address:[\t ]*(.*?)\r/gis;
my $addr = $1;
printf "%s %5d : %s (%s - %s)\n", getts($h->{TimeGenerated}), $h->{EventID}, $workstation, $addr, $username
if $workstation or $addr;
}
}
$x--;
}
exit;
In italian, sorry. Look here for an english equivalent and here for more info. ↩
february 2010 by abeggi
Conficker, come cercare l’untore nella propria rete
february 2010 by abeggi
Cercare un virus insidioso e veramente stronzo come Conficker in una rete con decine e decine di client può essere una impresa. Un lavoro estenuante e che talvolta sembra riemergere con improvvise fiammate di attacchi. Potrebbe sembrare tardivo questo post, ma parlando con alcuni colleghi ho notato che quello che vado ad illustrarvi non era un sistema conosciuto ai più.
Per andare a cercare nella propria rete l’impronta di Conficker potete usare NMAP, una utility gratuita per esplorare la propria rete.
Grazie alla ricerca di Tillmann Werner e Felix Leder che fanno parte del Honeynet Project e alla implementazione di Ron Bowes, David Fifield, Brandon Enright, and Fyodor, è stata creata, ormai un anno fa, una release di Nmap release che permette di controllare la vostra rete e individuare le macchine infette.
E’ sufficiente inserire nella linea di comando di NMAP il codice sottostante per ottenere una lista di computer che alla voce “Conficker” riporteranno lo stato riscontrato, “Conficker: Likely CLEAN” o spero pochi per voi, “Conficker: likely INFECTED”.
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Se non avete voglia di guardarvi a mano tutto il report, potete usare uno script in Perl ( http://noh.ucsd.edu/~bmenrigh/nxml_conficker.pl ) per ottenere un output XML.
A quel punto i computer riscontrati come possibili untori andranno scollegati dalla rete ed eseguite tutte le operazioni del caso che ormai i sistemisti conoscono bene: i client andranno controllati con GMER, ripuliti con una scansione all’avvio del vostro antivirus debitamente aggiornato, e verificati a mano percorsi come la cartella dei tasks e le voci di registro che grazie a SVCHOST rilanciano il virus come i componenti di Jeeg robot d’acciaio.
Software
Tecnica
conficker
malware
nmap
rootkit
sicurezza
windows
from google
Per andare a cercare nella propria rete l’impronta di Conficker potete usare NMAP, una utility gratuita per esplorare la propria rete.
Grazie alla ricerca di Tillmann Werner e Felix Leder che fanno parte del Honeynet Project e alla implementazione di Ron Bowes, David Fifield, Brandon Enright, and Fyodor, è stata creata, ormai un anno fa, una release di Nmap release che permette di controllare la vostra rete e individuare le macchine infette.
E’ sufficiente inserire nella linea di comando di NMAP il codice sottostante per ottenere una lista di computer che alla voce “Conficker” riporteranno lo stato riscontrato, “Conficker: Likely CLEAN” o spero pochi per voi, “Conficker: likely INFECTED”.
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Se non avete voglia di guardarvi a mano tutto il report, potete usare uno script in Perl ( http://noh.ucsd.edu/~bmenrigh/nxml_conficker.pl ) per ottenere un output XML.
A quel punto i computer riscontrati come possibili untori andranno scollegati dalla rete ed eseguite tutte le operazioni del caso che ormai i sistemisti conoscono bene: i client andranno controllati con GMER, ripuliti con una scansione all’avvio del vostro antivirus debitamente aggiornato, e verificati a mano percorsi come la cartella dei tasks e le voci di registro che grazie a SVCHOST rilanciano il virus come i componenti di Jeeg robot d’acciaio.
february 2010 by abeggi
Stupid Geek Tricks: Enable the Secret "How-To Geek" Mode in Windows 7
january 2010 by abeggi
We haven’t told anybody before, but Windows has a hidden “How-To Geek Mode” that you can enable which gives you access to every Control Panel tool on a single page—and we’ve documented the secret method for you here.
Update: Do not use this on Vista. If you did, you can use Ctrl+Shift+Esc to start task manager, File \ Run and open a command prompt with cmd.exe, and then use the rmdir command to get rid of the folder.
To activate the secret How-To Geek mode, right-click on the desktop, choose New –> Folder, and then give it this name:
How-To Geek.{ED7BA470-8E54-465E-825C-99712043E01C}
Once you’ve done so, you’ll have activated the secret mode, and the icon will change…
Double-click on the icon, and now you can use the How-To Geek mode, which lists out every single Control Panel tool on a single page.
At this point you might notice why this is a stupid geek trick—it’s much easier to use the default Control Panel than navigating through a massive list, and anybody that really calls themselves a geek will be using the Start Menu or Control Panel search box anyway.
In case you were wondering, this is the same as that silly “God Mode” trick that everybody else is writing about. For more on why it’s pointless, see Ed Bott’s post on the subject.
Alright, So It’s Not Really a Secret How-To Geek Mode
Sadly, this is nothing more than a stupid geek trick using a technique that isn’t widely known—Windows uses GUIDs (Globally Unique Identifiers) behind the scenes for every single object, component, etc. And when you create a new folder with an extension that is a GUID recognized by Windows, it’s going to launch whatever is listed in the registry for that GUID.
You can see for yourself by heading into regedit.exe and searching for {ED7BA470-8E54-465E-825C-99712043E01C} under the HKCR \ CLSID section. You’ll see on the right-hand pane that it’s the “All Tasks” view of the Control Panel, which you can’t normally see from the UI.
You can use this same technique for other Windows objects by doing some digging around in the registry… for instance, if you were to search under HKCR \ CLSID for “Recycle Bin”, you’d eventually come across the right key—the one on the left-hand side here:
So if you created a folder with the name “The Geek Knows Deleted Files.{645FF040-5081-101B-9F08-00AA002F954E}”, you’d end up with this icon, clearly from the Recycle Bin.
And it’s even a fully functional Recycle Bin… just right-click and you’ll see the menu:
So here’s the quick list of the ones I felt like digging up, but I’m sure there’s more things you can launch if you really felt like it.
Recycle Bin: {645FF040-5081-101B-9F08-00AA002F954E}
My Computer: {20D04FE0-3AEA-1069-A2D8-08002B30309D}
Network Connections: {7007ACC7-3202-11D1-AAD2-00805FC1270E}
User Accounts: {60632754-c523-4b62-b45c-4172da012619}
Libraries: {031E4825-7B94-4dc3-B131-E946B44C8DD5}
To use any of them, simply create a new folder with the syntax AnyTextHere.{GUID}
Create Shortcuts to GUIDs
Since the GUID points to a Windows object launched by Windows Explorer, you can also create shortcuts and launch them directly from explorer.exe instead of creating the folder. For instance, if you wanted to create a shortcut to My Computer, you could paste in the following as the location for a new shortcut:
explorer ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
And just like that, you’d have a shortcut to My Computer, which you can customize with a different icon, and a shortcut key if you so choose.
Yeah, it’s a stupid geek trick, but it’s always fun to learn new things.
Note: The Control Panel’s All Items hack and the Libraries hack will probably only work in Windows 7. The others should work in any version of Windows.
Similar Articles
Tinyhacker - Tiny Geek Hacks
Stupid Geek Tricks: Shrink the XP Volume ControlStupid Geek Tricks: Secret Items on the Windows 7 Send To MenuStupid Geek Tricks: Duplicate a Tab with a Shortcut Key in Chrome or FirefoxStupid Geek Tricks: Hide Data in a Secret Text File CompartmentWeek in Geek: The 10 Best Stupid Geek Tricks Edition
Browse Vintage Ads using Vintage Ad Browser
Check PageRank and Alexa Ranking of a Page Easily in Chrome
Earth Alerts Tracks Severe Disasters Globally
How to Burn ISO or IMG Disk Images in Windows 7
Microsoft Security Essentials New Beta Version
Windows 7 vs Windows Vista: the UAC Benchmark
Latest Software Reviews
Super User Daily
Registry Mechanic 9 for Windows
PC Tools Internet Security Suite 2010
PCmover Professional
Spyware Doctor + Antivirus 2010
Should I remove my laptop battery?
possible to run exe on os x?
User Profile cannot be loaded - Windows 7
How does seeding in uTorrent work if I don't forward any ports?
Geek_Stuff
Windows
Windows_7
Windows_Vista
from google
Update: Do not use this on Vista. If you did, you can use Ctrl+Shift+Esc to start task manager, File \ Run and open a command prompt with cmd.exe, and then use the rmdir command to get rid of the folder.
To activate the secret How-To Geek mode, right-click on the desktop, choose New –> Folder, and then give it this name:
How-To Geek.{ED7BA470-8E54-465E-825C-99712043E01C}
Once you’ve done so, you’ll have activated the secret mode, and the icon will change…
Double-click on the icon, and now you can use the How-To Geek mode, which lists out every single Control Panel tool on a single page.
At this point you might notice why this is a stupid geek trick—it’s much easier to use the default Control Panel than navigating through a massive list, and anybody that really calls themselves a geek will be using the Start Menu or Control Panel search box anyway.
In case you were wondering, this is the same as that silly “God Mode” trick that everybody else is writing about. For more on why it’s pointless, see Ed Bott’s post on the subject.
Alright, So It’s Not Really a Secret How-To Geek Mode
Sadly, this is nothing more than a stupid geek trick using a technique that isn’t widely known—Windows uses GUIDs (Globally Unique Identifiers) behind the scenes for every single object, component, etc. And when you create a new folder with an extension that is a GUID recognized by Windows, it’s going to launch whatever is listed in the registry for that GUID.
You can see for yourself by heading into regedit.exe and searching for {ED7BA470-8E54-465E-825C-99712043E01C} under the HKCR \ CLSID section. You’ll see on the right-hand pane that it’s the “All Tasks” view of the Control Panel, which you can’t normally see from the UI.
You can use this same technique for other Windows objects by doing some digging around in the registry… for instance, if you were to search under HKCR \ CLSID for “Recycle Bin”, you’d eventually come across the right key—the one on the left-hand side here:
So if you created a folder with the name “The Geek Knows Deleted Files.{645FF040-5081-101B-9F08-00AA002F954E}”, you’d end up with this icon, clearly from the Recycle Bin.
And it’s even a fully functional Recycle Bin… just right-click and you’ll see the menu:
So here’s the quick list of the ones I felt like digging up, but I’m sure there’s more things you can launch if you really felt like it.
Recycle Bin: {645FF040-5081-101B-9F08-00AA002F954E}
My Computer: {20D04FE0-3AEA-1069-A2D8-08002B30309D}
Network Connections: {7007ACC7-3202-11D1-AAD2-00805FC1270E}
User Accounts: {60632754-c523-4b62-b45c-4172da012619}
Libraries: {031E4825-7B94-4dc3-B131-E946B44C8DD5}
To use any of them, simply create a new folder with the syntax AnyTextHere.{GUID}
Create Shortcuts to GUIDs
Since the GUID points to a Windows object launched by Windows Explorer, you can also create shortcuts and launch them directly from explorer.exe instead of creating the folder. For instance, if you wanted to create a shortcut to My Computer, you could paste in the following as the location for a new shortcut:
explorer ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
And just like that, you’d have a shortcut to My Computer, which you can customize with a different icon, and a shortcut key if you so choose.
Yeah, it’s a stupid geek trick, but it’s always fun to learn new things.
Note: The Control Panel’s All Items hack and the Libraries hack will probably only work in Windows 7. The others should work in any version of Windows.
Similar Articles
Tinyhacker - Tiny Geek Hacks
Stupid Geek Tricks: Shrink the XP Volume ControlStupid Geek Tricks: Secret Items on the Windows 7 Send To MenuStupid Geek Tricks: Duplicate a Tab with a Shortcut Key in Chrome or FirefoxStupid Geek Tricks: Hide Data in a Secret Text File CompartmentWeek in Geek: The 10 Best Stupid Geek Tricks Edition
Browse Vintage Ads using Vintage Ad Browser
Check PageRank and Alexa Ranking of a Page Easily in Chrome
Earth Alerts Tracks Severe Disasters Globally
How to Burn ISO or IMG Disk Images in Windows 7
Microsoft Security Essentials New Beta Version
Windows 7 vs Windows Vista: the UAC Benchmark
Latest Software Reviews
Super User Daily
Registry Mechanic 9 for Windows
PC Tools Internet Security Suite 2010
PCmover Professional
Spyware Doctor + Antivirus 2010
Should I remove my laptop battery?
possible to run exe on os x?
User Profile cannot be loaded - Windows 7
How does seeding in uTorrent work if I don't forward any ports?
january 2010 by abeggi
Terminare i programmi che non rispondono (su windows)
may 2009 by abeggi
Forse vi sarà successo che, per vari motivi, ma uno dei più comuni è perchè tanti programmi sono scritti con i piedi (Outlook di Microsoft in ogni sua versione, nessnua esclusa, è il primo della lista) che uno più programmi si freezano e nella barra del titolo e nel task manager appare l’odiosa scritta che dice che “non risponde”.
Se la cosa si estende a più programmi, invece di perdere tempo a clickare come furie in attesa che si chiuda il programma zombie, si può andare a prompt e digitare il comando:
taskkill.exe /f /fi “status eq not responding”
ed i programmi incriminati dovrebbero sparire dalla vostra vita e dal vostro desktop.
A questo punto possiamo dedicarci al perchè questo succede, la soluzione può essere trovata in vari modi:
1) facendo un giro con un antivirus
2) facendo un test della ram
3) aggiornando il sistema (che non guasta mai)
4) eliminando il programma che si freeza, se è sempre lo stesso e sempre lui sostituendolo con qualcos’altro
5) …
99) installare un sistema operativo serio [ ]
Il comando taskkill è piuttosto potente, lotrovate su XP Professional e Windows 2003, ma non su XP Home edition (chissà perchè), ha una sintassi sofisticata che permette degli IF sullo stato dei programmi ed un sacco di altre cosine interessanti, inoltre funziona anche in remoto, se il computer zoppicante non risponde ed avete un’altra macchina windows sulla sua rete potete usare lo switch /S che permette il collegamento ad un pc remoto, previa conoscenza della password di amministratore.
QUI TROVATE UN PO’ DI INFO
appunti
network
programmi
windows
kill
programmi_bloccati
taskkill
from google
Se la cosa si estende a più programmi, invece di perdere tempo a clickare come furie in attesa che si chiuda il programma zombie, si può andare a prompt e digitare il comando:
taskkill.exe /f /fi “status eq not responding”
ed i programmi incriminati dovrebbero sparire dalla vostra vita e dal vostro desktop.
A questo punto possiamo dedicarci al perchè questo succede, la soluzione può essere trovata in vari modi:
1) facendo un giro con un antivirus
2) facendo un test della ram
3) aggiornando il sistema (che non guasta mai)
4) eliminando il programma che si freeza, se è sempre lo stesso e sempre lui sostituendolo con qualcos’altro
5) …
99) installare un sistema operativo serio [ ]
Il comando taskkill è piuttosto potente, lotrovate su XP Professional e Windows 2003, ma non su XP Home edition (chissà perchè), ha una sintassi sofisticata che permette degli IF sullo stato dei programmi ed un sacco di altre cosine interessanti, inoltre funziona anche in remoto, se il computer zoppicante non risponde ed avete un’altra macchina windows sulla sua rete potete usare lo switch /S che permette il collegamento ad un pc remoto, previa conoscenza della password di amministratore.
QUI TROVATE UN PO’ DI INFO
may 2009 by abeggi
Batch: update di massa per UltraVNC
april 2009 by abeggi
Sto per tirarvi fuori il solito post “viaggio mentale” che spiega un metodo valido e funzionante (provato su strada) per aggiornare in modo massivo la versione di UltraVNC utilizzata magari nella vostra rete LAN, inserendo di default alcune impostazioni del programma, ivi compresi gruppi di dominio autorizzati a fare assistenza remota!
# conoscere il campo
La casistica affrontata riguarda una rete aziendale con dominio Microsoft, tutte macchine XP regolarmente aggiornate (e qualche Vista), utenti non amministratori del proprio PC, installazioni di UltraVNC (diverse versioni mai allineate) e RealVNC 4 miste. Tutti i computer montano diverse unità di rete all’avvio, tra queste si trovano la cartella personale ed una cartella generica per le installazioni software. Proprio grazie a quest’ultima -e qualche trucco batch- sarà possibile distribuire l’ultima versione dell’UltraVNC in modo totalmente automatizzato.
# cosa serve per partire
Basterà installare su una qualsiasi macchina (la prima, una cavia) l’UltraVNC (ultima release disponibile sul sito web ufficiale) configurandolo esattamente come vogliamo diventi su tutte le macchine della rete. Si parte avviando una piccola utility fornita nelle ultime release di UltraVNC:
“uvnc_settings.exe” generalmente in C:ProgrammiUltraVNC (o Program Files per Windows Vista)
Questa permette di modificare e salvare (in un file .ini, ndr) tutte le impostazioni della parte server installata sulla macchina. Un file che -volendolo trasportare altrove con il giusto metodo- imposta già il comportamento di una nuova installazione UltraVNC:
Fatte le dovute modifiche, il file ultravnc.ini sarà esportabile altrove. Un consiglio? Create sul desktop (o una posizione a scelta) una cartella nella quale raccogliere tutti i file necessari alla migrazione, compresi gli script che andremo a creare tra breve, è nettamente più comodo.
Tocca ora ai gruppi di dominio autorizzati a collegarsi in VNC sulla macchina. Una volta inseriti a mano sul “PC Cavia“, UltraVNC salverà le informazioni in una chiave di registro che si trova in:
[HKEY_LOCAL_MACHINESOFTWAREORL]
il tutto codificato in HEX. Non preoccupatevi del contenuto ed esportate il .reg nella cartella precedentemente creata. Dovrebbe contenere una sola sottochiave ([HKEY_LOCAL_MACHINESOFTWAREORLWinVNC3]), dovrebbe assomigliare a qualcosa del genere:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREORL]
[HKEY_LOCAL_MACHINESOFTWAREORLWinVNC3]
"ACL"=hex:02,00,50,00,02,00,00,00,00,00,24,00,03,00,00,00,01,05,00,00,00,00,00,
05,15,00,00,00,6f,20,**,******,********0,00,24,00,
**,****,*****,00,00,00,05,15,0*,**,00,6f,20,c3,5a,ff,1a,ef,4c,bf,
7d,f7,6d,69,35,00,00
(chiaramente gli asterischi sono stati messi a random per offuscare il contenuto del .reg da me utilizzato).
Approfittate di questo momento per inserire nella solita cartella anche PSKill, tool della SysInternals (Microsoft) facente parte della suite PSTools, disponibile gratuitamente sul sito Microsoft:
technet.microsoft.com/en-us/sysinternals/bb896649.aspx
Servirà per terminare in modo sicuro il servizio winvnc eventualmente già aperto sulla macchina. Funziona allo stesso modo del taskman / taskkill via DOS ma in casi un pò più “recividi” con processi particolarmente rognosi da buttare giù, funziona decisamente meglio. L’unico problema è che l’applicativo, aperto per la prima volta sulla macchina, chiederà se accettare o meno la licenza di utilizzo, il tutto facilmente aggirabile tramite file di registro da avviare sulla macchina ospite:
Windows Registry Editor Version 5.00
[HKEY_USERSS-1-5-21-1522737263-1290738431-1844936127-13971SoftwareSysinternalsPsKill]
"EulaAccepted"=dword:00000001
Ultimo passaggio di “preparazione” è il file di informazioni di installazione *.inf, contenente le indicazioni su ciò che verrà installato sulla macchina, tutto abbastanza comprensibile con un minimo di impegno
[Setup]
Lang=en
Dir=C:ProgrammiUltraVNC
Group=UltraVNC
NoIcons=0
SetupType=full
Components=ultravnc_server,ultravnc_viewer
Tasks=installservice,startservice
in sintesi: verrà installato UltraVNC nella directory predefinita (C:ProgrammiUltraVNC calcolando che stiamo parlando di client XP italiani), interfaccia in lingua inglese, senza icone sul Desktop, con componenti Server e Viewer tenendo conto che il servizio ultravnc_server verrà inserito tra quelli riconosciuti da Windows (Pannello di Controllo / Strumenti di amministrazione / Servizi) ed avviato da subito.
Basterà incollare quanto sopra riportato su un nuovo file Blocco Note (o editor di testo equivalente) e salvare il tutto come ultravnc.inf nella cartella della migrazione.
# contenuto finale della cartella
Se avete seguito alla lettera l’articolo (fino ad ora, chiaramente) dovreste trovarvi davanti ad una cartella così composta (grosso modo):
Andiamo ora a vedere come creare quel file install.bat che si occuperà di:
rilevare ed eventualmente disinstallare versioni di RealVNC 4 o precedenti
rilevare ed eventualmente disinstallare vecchie versioni di UltraVNC
installare l’ultima versione disponibile di UltraVNC caricata nella cartella dell’update con le impostazioni dettate dal file di informazioni d’installazione
impostare automaticamente le opzioni dell’UltraVNC appena installato con il file di configurazione precedentemente generato
aggiungere i gruppi autorizzati alla connessione sulla macchina che chiede assistenza e che ha appena “subìto” l’aggiornamento forzato
Mani ad un editor di testo, si parte.
# install.bat
Una veloce occhiata alle procedura permetterà di capire come strutturare poi uno script batch finale che controllerà dapprima la presenza degli applicativi per azionare in seguito le funzioni necessarie all’upgrade.
Stop dei servizi, è necessario
Lo stop dei servizi è chiaramente necessario per poter lavorare, a patto che siano effettivamente avviati. Per sicurezza è meglio provare a chiuderli a prescindere dal loro stato, giusto no?
echo *** Stop Servizi ***
echo.
net stop "uvnc_service"
net stop "VNC server"
Chi c’è c’è, gli altri si disinstallano
Ciò che va controllato è sicuramente la presenza del RealVNC 4 e di eventuali altre versioni di UltraVNC non pari all’ultima da noi scelta. Per questo motivo sarà necessario imporre al programma di effettuare da subito un “paio di ricerche incrociate“:
if exist %programfiles%RealVNCVNC4 goto REALVNC
if not exist %programfiles%UltraVNC goto INSTALL
A cosa corrispondono quei GOTO? Lo scopriamo subito
Rilevare e disinstallare RealVNC 4
Tutto molto semplice e, come ogni programma che si rispetti, prevede un parametro silent che si occuperà di fare il tutto senza che l’utente si accorga di nulla, peculiarità fondamentale in casi come questo:
:REALVNC
echo *** Rimozione RealVNC ***
"%programfiles%RealVNCVNC4unins000.exe" /verysilent /norestart
cd %programfiles%RealVNC
rmdir VNC4 /s /q
cd ..
rmdir RealVNC /s /q
echo.
echo Fatto, procedo.
goto CONTROLLO
Prevista chiaramente la distruzione delle cartelle riguardanti l’applicativo, proprio nelle ultime righe “rmdir“.
Rilevare e disinstallare vecchie versioni di UltraVNC
Anche in questo caso il programma si assicurerà che esista un’installazione di UltraVNC procedendo poi con una disinstallazione silente attraverso il precedente utilizzo di PSKILL per terminare il file eseguibile molto probabilmente ancora aperto:
:CONTROLLO
echo.
echo *** Rimozione vecchia versione UltraVNC ***
echo.
if exist %programfiles%UltraVNC "%programfiles%UltraVNCunins000.exe" /verysilent /norestart
if exist %programfiles%UltraVNC regedit /s \POSIZIONECARTELLAUPDATEpskill.reg
if exist %programfiles%UltraVNC \POSIZIONECARTELLAUPDATEpskill winvnc.exe
if exist %programfiles%UltraVNC rd %programfiles%UltraVNC /s /q
goto INSTALL
Prima di lanciare il PSKILL noterete l’associazione forzata del file di registro che permetterà di saltare la fase di accettazione licenza di utilizzo dell’applicativo. Inutile specificare che al posto di “POSIZIONECARTELLAUPDATE” dovrete sostituire la cartella esatta sul server che sta ospitando gli script ed i file di aggiornamento.
Installazione e configurazione automatica UltraVNC
Ultimo passo per concludere la procedura automatizzata. La funzione si occuperà di installare l’UltraVNC passandogli tutti i parametri decisi in precedenza, comprese password, gruppi di dominio e quant’altro ancora. Lo script non è neanche così complicato, i comandi diretti e le variabili utilizzate sono opera di Stefano (grazie!), ormai fondamentale quando si parla di scriptare in batch qui in ufficio Io non ho fatto altro che dare una veloce occhiata e mettere a posto qualche “piccola gaffe“:
:INSTALL
echo.
echo *** Installazione nuova versione UltraVNC ***
echo.
if not exist %programfiles%UltraVNC mkdir %programfiles%UltraVNC
copy \POSIZIONECARTELLAUPDATEultravnc.ini "%programfiles%UltraVNC"
regedit /s \POSIZIONECARTELLAUPDATEuvnc.reg
"\POSIZIONECARTELLAUPDATEUltraVNC_1.0.5.3_Setup.exe" /verysilent /loadinf=\POSIZIONECARTELLAUPDATEultravnc.inf
goto FINE
:FINE
echo Processo di aggiornamento terminato
Una volta creata la directory nella quale si andrà ad installare l’applicativo, si copia il file di impostazioni e si associa quel .reg precedentemente creato forzando il tutto da shell (regedit /s). Ora si potrà finalmente lanciare il setup, rigorosamente in silent, facendogli recuperare le informazioni che avevamo stabilito inizialmente (/loadinf=…).
Il gioco è fatto, UltraVNC si installerà e avvierà il servizio server al quale noi potremo “chiedere udienza” dopo poco per la prima volta, a conferma del corretto funzionamento dello script batch!
# avvertenze
La buona riuscita dell’installazione (o dell’aggiornamento) richiede l’essere puntigliosi nel controlla[…]
Informatica
Lavoro
Microsoft
Milano
Ricerca_e_Sviluppo
Software
Test_Hw/Sw
Windows
Batch
DOS
Mass_Update
pskill
Regedit
Sysinternals
UltraVNC
from google
# conoscere il campo
La casistica affrontata riguarda una rete aziendale con dominio Microsoft, tutte macchine XP regolarmente aggiornate (e qualche Vista), utenti non amministratori del proprio PC, installazioni di UltraVNC (diverse versioni mai allineate) e RealVNC 4 miste. Tutti i computer montano diverse unità di rete all’avvio, tra queste si trovano la cartella personale ed una cartella generica per le installazioni software. Proprio grazie a quest’ultima -e qualche trucco batch- sarà possibile distribuire l’ultima versione dell’UltraVNC in modo totalmente automatizzato.
# cosa serve per partire
Basterà installare su una qualsiasi macchina (la prima, una cavia) l’UltraVNC (ultima release disponibile sul sito web ufficiale) configurandolo esattamente come vogliamo diventi su tutte le macchine della rete. Si parte avviando una piccola utility fornita nelle ultime release di UltraVNC:
“uvnc_settings.exe” generalmente in C:ProgrammiUltraVNC (o Program Files per Windows Vista)
Questa permette di modificare e salvare (in un file .ini, ndr) tutte le impostazioni della parte server installata sulla macchina. Un file che -volendolo trasportare altrove con il giusto metodo- imposta già il comportamento di una nuova installazione UltraVNC:
Fatte le dovute modifiche, il file ultravnc.ini sarà esportabile altrove. Un consiglio? Create sul desktop (o una posizione a scelta) una cartella nella quale raccogliere tutti i file necessari alla migrazione, compresi gli script che andremo a creare tra breve, è nettamente più comodo.
Tocca ora ai gruppi di dominio autorizzati a collegarsi in VNC sulla macchina. Una volta inseriti a mano sul “PC Cavia“, UltraVNC salverà le informazioni in una chiave di registro che si trova in:
[HKEY_LOCAL_MACHINESOFTWAREORL]
il tutto codificato in HEX. Non preoccupatevi del contenuto ed esportate il .reg nella cartella precedentemente creata. Dovrebbe contenere una sola sottochiave ([HKEY_LOCAL_MACHINESOFTWAREORLWinVNC3]), dovrebbe assomigliare a qualcosa del genere:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREORL]
[HKEY_LOCAL_MACHINESOFTWAREORLWinVNC3]
"ACL"=hex:02,00,50,00,02,00,00,00,00,00,24,00,03,00,00,00,01,05,00,00,00,00,00,
05,15,00,00,00,6f,20,**,******,********0,00,24,00,
**,****,*****,00,00,00,05,15,0*,**,00,6f,20,c3,5a,ff,1a,ef,4c,bf,
7d,f7,6d,69,35,00,00
(chiaramente gli asterischi sono stati messi a random per offuscare il contenuto del .reg da me utilizzato).
Approfittate di questo momento per inserire nella solita cartella anche PSKill, tool della SysInternals (Microsoft) facente parte della suite PSTools, disponibile gratuitamente sul sito Microsoft:
technet.microsoft.com/en-us/sysinternals/bb896649.aspx
Servirà per terminare in modo sicuro il servizio winvnc eventualmente già aperto sulla macchina. Funziona allo stesso modo del taskman / taskkill via DOS ma in casi un pò più “recividi” con processi particolarmente rognosi da buttare giù, funziona decisamente meglio. L’unico problema è che l’applicativo, aperto per la prima volta sulla macchina, chiederà se accettare o meno la licenza di utilizzo, il tutto facilmente aggirabile tramite file di registro da avviare sulla macchina ospite:
Windows Registry Editor Version 5.00
[HKEY_USERSS-1-5-21-1522737263-1290738431-1844936127-13971SoftwareSysinternalsPsKill]
"EulaAccepted"=dword:00000001
Ultimo passaggio di “preparazione” è il file di informazioni di installazione *.inf, contenente le indicazioni su ciò che verrà installato sulla macchina, tutto abbastanza comprensibile con un minimo di impegno
[Setup]
Lang=en
Dir=C:ProgrammiUltraVNC
Group=UltraVNC
NoIcons=0
SetupType=full
Components=ultravnc_server,ultravnc_viewer
Tasks=installservice,startservice
in sintesi: verrà installato UltraVNC nella directory predefinita (C:ProgrammiUltraVNC calcolando che stiamo parlando di client XP italiani), interfaccia in lingua inglese, senza icone sul Desktop, con componenti Server e Viewer tenendo conto che il servizio ultravnc_server verrà inserito tra quelli riconosciuti da Windows (Pannello di Controllo / Strumenti di amministrazione / Servizi) ed avviato da subito.
Basterà incollare quanto sopra riportato su un nuovo file Blocco Note (o editor di testo equivalente) e salvare il tutto come ultravnc.inf nella cartella della migrazione.
# contenuto finale della cartella
Se avete seguito alla lettera l’articolo (fino ad ora, chiaramente) dovreste trovarvi davanti ad una cartella così composta (grosso modo):
Andiamo ora a vedere come creare quel file install.bat che si occuperà di:
rilevare ed eventualmente disinstallare versioni di RealVNC 4 o precedenti
rilevare ed eventualmente disinstallare vecchie versioni di UltraVNC
installare l’ultima versione disponibile di UltraVNC caricata nella cartella dell’update con le impostazioni dettate dal file di informazioni d’installazione
impostare automaticamente le opzioni dell’UltraVNC appena installato con il file di configurazione precedentemente generato
aggiungere i gruppi autorizzati alla connessione sulla macchina che chiede assistenza e che ha appena “subìto” l’aggiornamento forzato
Mani ad un editor di testo, si parte.
# install.bat
Una veloce occhiata alle procedura permetterà di capire come strutturare poi uno script batch finale che controllerà dapprima la presenza degli applicativi per azionare in seguito le funzioni necessarie all’upgrade.
Stop dei servizi, è necessario
Lo stop dei servizi è chiaramente necessario per poter lavorare, a patto che siano effettivamente avviati. Per sicurezza è meglio provare a chiuderli a prescindere dal loro stato, giusto no?
echo *** Stop Servizi ***
echo.
net stop "uvnc_service"
net stop "VNC server"
Chi c’è c’è, gli altri si disinstallano
Ciò che va controllato è sicuramente la presenza del RealVNC 4 e di eventuali altre versioni di UltraVNC non pari all’ultima da noi scelta. Per questo motivo sarà necessario imporre al programma di effettuare da subito un “paio di ricerche incrociate“:
if exist %programfiles%RealVNCVNC4 goto REALVNC
if not exist %programfiles%UltraVNC goto INSTALL
A cosa corrispondono quei GOTO? Lo scopriamo subito
Rilevare e disinstallare RealVNC 4
Tutto molto semplice e, come ogni programma che si rispetti, prevede un parametro silent che si occuperà di fare il tutto senza che l’utente si accorga di nulla, peculiarità fondamentale in casi come questo:
:REALVNC
echo *** Rimozione RealVNC ***
"%programfiles%RealVNCVNC4unins000.exe" /verysilent /norestart
cd %programfiles%RealVNC
rmdir VNC4 /s /q
cd ..
rmdir RealVNC /s /q
echo.
echo Fatto, procedo.
goto CONTROLLO
Prevista chiaramente la distruzione delle cartelle riguardanti l’applicativo, proprio nelle ultime righe “rmdir“.
Rilevare e disinstallare vecchie versioni di UltraVNC
Anche in questo caso il programma si assicurerà che esista un’installazione di UltraVNC procedendo poi con una disinstallazione silente attraverso il precedente utilizzo di PSKILL per terminare il file eseguibile molto probabilmente ancora aperto:
:CONTROLLO
echo.
echo *** Rimozione vecchia versione UltraVNC ***
echo.
if exist %programfiles%UltraVNC "%programfiles%UltraVNCunins000.exe" /verysilent /norestart
if exist %programfiles%UltraVNC regedit /s \POSIZIONECARTELLAUPDATEpskill.reg
if exist %programfiles%UltraVNC \POSIZIONECARTELLAUPDATEpskill winvnc.exe
if exist %programfiles%UltraVNC rd %programfiles%UltraVNC /s /q
goto INSTALL
Prima di lanciare il PSKILL noterete l’associazione forzata del file di registro che permetterà di saltare la fase di accettazione licenza di utilizzo dell’applicativo. Inutile specificare che al posto di “POSIZIONECARTELLAUPDATE” dovrete sostituire la cartella esatta sul server che sta ospitando gli script ed i file di aggiornamento.
Installazione e configurazione automatica UltraVNC
Ultimo passo per concludere la procedura automatizzata. La funzione si occuperà di installare l’UltraVNC passandogli tutti i parametri decisi in precedenza, comprese password, gruppi di dominio e quant’altro ancora. Lo script non è neanche così complicato, i comandi diretti e le variabili utilizzate sono opera di Stefano (grazie!), ormai fondamentale quando si parla di scriptare in batch qui in ufficio Io non ho fatto altro che dare una veloce occhiata e mettere a posto qualche “piccola gaffe“:
:INSTALL
echo.
echo *** Installazione nuova versione UltraVNC ***
echo.
if not exist %programfiles%UltraVNC mkdir %programfiles%UltraVNC
copy \POSIZIONECARTELLAUPDATEultravnc.ini "%programfiles%UltraVNC"
regedit /s \POSIZIONECARTELLAUPDATEuvnc.reg
"\POSIZIONECARTELLAUPDATEUltraVNC_1.0.5.3_Setup.exe" /verysilent /loadinf=\POSIZIONECARTELLAUPDATEultravnc.inf
goto FINE
:FINE
echo Processo di aggiornamento terminato
Una volta creata la directory nella quale si andrà ad installare l’applicativo, si copia il file di impostazioni e si associa quel .reg precedentemente creato forzando il tutto da shell (regedit /s). Ora si potrà finalmente lanciare il setup, rigorosamente in silent, facendogli recuperare le informazioni che avevamo stabilito inizialmente (/loadinf=…).
Il gioco è fatto, UltraVNC si installerà e avvierà il servizio server al quale noi potremo “chiedere udienza” dopo poco per la prima volta, a conferma del corretto funzionamento dello script batch!
# avvertenze
La buona riuscita dell’installazione (o dell’aggiornamento) richiede l’essere puntigliosi nel controlla[…]
april 2009 by abeggi
Proteggiamo il computer con firewall, ecco la lista dei migliori
december 2008 by abeggi
L’immagine sottostante è più eloquente di mille parole. Il firewall ha il compito di controllare tutto ciò che entra e esce dal computer tenendo al di fuori gli intrusi. Benché l’immagine possa essere satirica non potrebbe esprimere meglio la reale utilità di questo software integrato negli odierni sistemi Microsoft. Anche se la versione per Windows Vista è superiore al predecessore, sono ancora lontani gli standard di sicurezza richiesti da un buon sistema operativo e trovabili in altri sistemi operativi su base Unix.
Non mi addentrerò nel dettaglio, ma qui potete trovare una classifica molto aggiornata e dettagliata dei test condotti contro i firewall attualmente disponibili, gratis e non. Più volte vi ho detto di non prestare troppa attenzione ai test di questo genere ma per questo caso c’è da fare una precisazione. Gli attacchi che possono essere condotti contro un firewall sono di vario genere ma rimangono sempre quelli, quindi attualmente è difficile che possa spuntare un nuovo modo di forzare un sistema, l’unica cosa che cambia col tempo è la versione del programma e come reagisce ai tentativi di intrusione. Questo deve fa si che la versione di un programma, anche se migliorata, difficilmente nell’arco di un anno riesca a scalare la classifica in maniera sensibile.
Miti da sfatare:
Primo fra tutti che basti il firewall di Windows per stare al sicuro, il fatto che lo troviamo già installato non vuol dire che funzioni.
Che i migliori programmi sono quelli a pagamento, infatti io da sempre consiglio Comodo come firewall e non ho mai dovuto ricredermi.
Che Zone Allarm, versione free, sia un ottimo programma.
Nell’elenco è possibile notare come venga citato solo Zone Allarm versione Pro, quindi quella a pagamento mentre il fratellino minore, che molti consigliano e installano in versione gratuita non risulti neanche tra gli sconsigliati, stessa cosa dicasi per Windows Firewall. Mi piace far notare la presenza di un altro paio di software che conosco e apprezzo: PC Tools Firewall Plus e il sempre eccelso Outpost Firewall, il primo gratuito e il secondo a pagamento.
Ricordo che il firewall è uno strumento necessario per la protezione del proprio computer ma è altresì vero che bisogna istruirlo e saperlo gestire, e se non siamo in grado, possono essere più i guai che i vantaggi.
---Articoli simili su Sismi.info:Configuriamo eMule per scaricare sicuriAnche l’Italia come la Cina censura siti internetProteggiamo i nostri cellulari dai VIRUSEmule: come scaricare ed evitare di essere intercettatiI migliori Reader Rss gratuitiId Alto su eMule e aMuleProgrammi da utilizzare per rimuovere i virus su Windows e proteggere il computerSicurezza informatica: ecco perché il solo antivirus non vi proteggeCome funziona il Firewall CineseCapire chi mi ha eliminato dai contatti del Messenger
© David Terni di Sismi.info, 2008. |
Permalink |
9 commenti
Tags usati: comodo, firewall, lista, outpost, test, zone allarm
Internet
Lo_sapevi_che...
Programmi
Sicurezza_Informatica
Windows
comodo
firewall
lista
outpost
test
zone_allarm
from google
Non mi addentrerò nel dettaglio, ma qui potete trovare una classifica molto aggiornata e dettagliata dei test condotti contro i firewall attualmente disponibili, gratis e non. Più volte vi ho detto di non prestare troppa attenzione ai test di questo genere ma per questo caso c’è da fare una precisazione. Gli attacchi che possono essere condotti contro un firewall sono di vario genere ma rimangono sempre quelli, quindi attualmente è difficile che possa spuntare un nuovo modo di forzare un sistema, l’unica cosa che cambia col tempo è la versione del programma e come reagisce ai tentativi di intrusione. Questo deve fa si che la versione di un programma, anche se migliorata, difficilmente nell’arco di un anno riesca a scalare la classifica in maniera sensibile.
Miti da sfatare:
Primo fra tutti che basti il firewall di Windows per stare al sicuro, il fatto che lo troviamo già installato non vuol dire che funzioni.
Che i migliori programmi sono quelli a pagamento, infatti io da sempre consiglio Comodo come firewall e non ho mai dovuto ricredermi.
Che Zone Allarm, versione free, sia un ottimo programma.
Nell’elenco è possibile notare come venga citato solo Zone Allarm versione Pro, quindi quella a pagamento mentre il fratellino minore, che molti consigliano e installano in versione gratuita non risulti neanche tra gli sconsigliati, stessa cosa dicasi per Windows Firewall. Mi piace far notare la presenza di un altro paio di software che conosco e apprezzo: PC Tools Firewall Plus e il sempre eccelso Outpost Firewall, il primo gratuito e il secondo a pagamento.
Ricordo che il firewall è uno strumento necessario per la protezione del proprio computer ma è altresì vero che bisogna istruirlo e saperlo gestire, e se non siamo in grado, possono essere più i guai che i vantaggi.
---Articoli simili su Sismi.info:Configuriamo eMule per scaricare sicuriAnche l’Italia come la Cina censura siti internetProteggiamo i nostri cellulari dai VIRUSEmule: come scaricare ed evitare di essere intercettatiI migliori Reader Rss gratuitiId Alto su eMule e aMuleProgrammi da utilizzare per rimuovere i virus su Windows e proteggere il computerSicurezza informatica: ecco perché il solo antivirus non vi proteggeCome funziona il Firewall CineseCapire chi mi ha eliminato dai contatti del Messenger
© David Terni di Sismi.info, 2008. |
Permalink |
9 commenti
Tags usati: comodo, firewall, lista, outpost, test, zone allarm
december 2008 by abeggi
Microsoft Desktops
august 2008 by abeggi
Mark Russinovich and his Sysinternals applications have an excellent reputation among IT professionals. The newest application Microsoft Desktops will surely add to that. It was developed by Mark and Bryce Cogswell and provides the user with up to four virtual desktops to organize the applications.
The interesting aspect about Microsoft Desktops is that it is a lightweight application. It uses less than four Megabytes of computer memory to run which is a very good value for applications of this kind. The user is asked to define the hotkeys that switch between the virtual desktops during program start.
The default option is ALT and the numbers 1-4. Other keys that are available are CTRL, SHIFT and Windows and the F-keys. Switching between the virtual desktops works extremely well and fluent, there is virtually no delay.
All icons and shortcuts that have been placed on the standard desktop are replicated and available in every virtual desktop as well.
The program places an icon in the Windows system tray that displays the contents of the virtual desktops when left-clicked. Another click would select the virtual desktop and bring it up on the computer monitor.
The options of Microsoft Desktops are also accessible through the system tray icon.
Post from: gHacks technology news
Microsoft Desktops
Tags: microsoft, microsoft desktops, microsoft software, sysinternal desktops, sysinternals desktops, virtual desktops
Related posts
Zune does not allow to share all songs (3)
Zoom It (3)
Yuck new Windows Vista Ultimate Extras (17)
Yahoo, sick of them yet? (4)
XP SP3 and Vista SP 1 available through Windows Update (6)
Windows
software
microsoft
microsoft_desktops
microsoft_software
sysinternal_desktops
sysinternals_desktops
virtual_desktops
from google
The interesting aspect about Microsoft Desktops is that it is a lightweight application. It uses less than four Megabytes of computer memory to run which is a very good value for applications of this kind. The user is asked to define the hotkeys that switch between the virtual desktops during program start.
The default option is ALT and the numbers 1-4. Other keys that are available are CTRL, SHIFT and Windows and the F-keys. Switching between the virtual desktops works extremely well and fluent, there is virtually no delay.
All icons and shortcuts that have been placed on the standard desktop are replicated and available in every virtual desktop as well.
The program places an icon in the Windows system tray that displays the contents of the virtual desktops when left-clicked. Another click would select the virtual desktop and bring it up on the computer monitor.
The options of Microsoft Desktops are also accessible through the system tray icon.
Post from: gHacks technology news
Microsoft Desktops
Tags: microsoft, microsoft desktops, microsoft software, sysinternal desktops, sysinternals desktops, virtual desktops
Related posts
Zune does not allow to share all songs (3)
Zoom It (3)
Yuck new Windows Vista Ultimate Extras (17)
Yahoo, sick of them yet? (4)
XP SP3 and Vista SP 1 available through Windows Update (6)
august 2008 by abeggi
Masterizzare cd e dvd video, rippare mp3, ricreare dvd da avi, su windows, GRATIS !!!
july 2008 by abeggi
Nero Burning Rom (Nerone Brucia Roma, da cui l’icona del colosseo in fiamme ) è indubbiamente un signor programma, ma purtroppo non e’ gratuito.
In questi giorni stò provando, con molta soddisfazione, la NUOVA versione gratuita di un programma che esiste sia in versione gratis che a pagamento di cui avevo già parlato in passato.
Il programma in questione si chiama FinalBurner, ed è disponibile nella versione 2.1.0.130.
Oltre ad essere vista compatibile (che non guasta) ed a masterizzare i cd / dvd dati ed i cd audio ha delle funzioni molto interessanti, per esempio è in grado di riconvertire in dvd un file .AVI, di masterizzare un dvd video senza grossi problemi, di creare un dvd attingendo da una fonte esterna (una cam o altro), è capace inoltre, da solo, di creare il necessario per rendere un cd autoavviante, di stampare le etichette dei cd, e di rippare, in wav o in mp3, un cd audio.
Il setup e’ piccolissimo, meno di 10 mega, un francobollo in confronto all’elefante che e’ diventato Nero 8.0 che ha indubbiamente molte piu’ funzioni, ma in effetti non tutte forse servono.
Provatelo, lo potete scaricare da QUI mentre QUI trovate l’help on-line, in inglese, che può darvi un’idea piu’ approfondita del programma e delle sue funzioni.
Share This
appunti
multimedia
programmi
vista
windows
finalburner
gratis
nero
from google
In questi giorni stò provando, con molta soddisfazione, la NUOVA versione gratuita di un programma che esiste sia in versione gratis che a pagamento di cui avevo già parlato in passato.
Il programma in questione si chiama FinalBurner, ed è disponibile nella versione 2.1.0.130.
Oltre ad essere vista compatibile (che non guasta) ed a masterizzare i cd / dvd dati ed i cd audio ha delle funzioni molto interessanti, per esempio è in grado di riconvertire in dvd un file .AVI, di masterizzare un dvd video senza grossi problemi, di creare un dvd attingendo da una fonte esterna (una cam o altro), è capace inoltre, da solo, di creare il necessario per rendere un cd autoavviante, di stampare le etichette dei cd, e di rippare, in wav o in mp3, un cd audio.
Il setup e’ piccolissimo, meno di 10 mega, un francobollo in confronto all’elefante che e’ diventato Nero 8.0 che ha indubbiamente molte piu’ funzioni, ma in effetti non tutte forse servono.
Provatelo, lo potete scaricare da QUI mentre QUI trovate l’help on-line, in inglese, che può darvi un’idea piu’ approfondita del programma e delle sue funzioni.
Share This
july 2008 by abeggi
related tags
appunti ⊕ Batch ⊕ comodo ⊕ Computer ⊕ conficker ⊕ DOS ⊕ finalburner ⊕ firewall ⊕ Geek_Stuff ⊕ gratis ⊕ Group_Policy ⊕ Informatica ⊕ Internet ⊕ IT ⊕ kill ⊕ Lavoro ⊕ lista ⊕ Lo_sapevi_che... ⊕ malware ⊕ Mass_Update ⊕ microsoft ⊕ microsoft_desktops ⊕ microsoft_software ⊕ Milano ⊕ multimedia ⊕ nero ⊕ network ⊕ nmap ⊕ outpost ⊕ Perl ⊕ programmi ⊕ programmi_bloccati ⊕ pskill ⊕ Regedit ⊕ Registry ⊕ Ricerca_e_Sviluppo ⊕ rootkit ⊕ sicurezza ⊕ Sicurezza_Informatica ⊕ software ⊕ Symantec ⊕ Sysinternals ⊕ sysinternals_desktops ⊕ sysinternal_desktops ⊕ taskkill ⊕ Tecnica ⊕ test ⊕ Test_Hw/Sw ⊕ tips ⊕ Tips_&_Tricks ⊕ Troubleshooting ⊕ UltraVNC ⊕ VBScript ⊕ virtual_desktops ⊕ vista ⊕ windows ⊖ Windows_7 ⊕ Windows_Vista ⊕ zone_allarm ⊕Copy this bookmark: