lunedì 29 dicembre 2014

Windows Quick Tip: impostare singolarmente la lingua di input dei programmi in Windows 8

Nelle versioni precedenti di Windows era possibile selezionare metodi di input differenti per ciascuna applicazione. Tale funzione può essere utile ad es. per i programmatori che nell'ambiente di sviluppo possono selezionare la tastiera americana come quella di default in modo da poter inserire facilmente caratteri utilizzati nell'ambiente di programmazione come ad esempio le parentesi graffe.
Da Windows 8 è cambiata l'impostazione di default: è possibile specificare un solo metodo di input che viene esteso a tutte le applicazioni.
Tale comportamento può essere cambiato,in modo da ripristinare la vecchia modalità, agendo come indicato di seguito.

Il primo passo è quello di accedere al Pannello di Controllo: richiamiamo la funzione di ricerca di Windows tramite la combinazione di tasti WIN + S quindi digitiamo Pannello di Controllo all'interno della casella di ricerca e clicchiamo sulla relativa icona.

All'interno della sezione Orologio e opzioni internazionali, cliccare su Cambia metodi di input


Pannello di Controllo
FIG 1 - Pannello di Controllo
Nella nuova finestra Lingua cliccare sul menu Impostazioni Avanzate presente sulla sinistra.


Lingua
FIG 2 - Lingua
Nelle impostazioni avanzate selezionare l'opzione Imposta un metodo di input diverso per ogni finestra dell'applicazione presente all'interno della sezione Cambio dei metodi di input e salvare cliccando sull'apposito tasto.


Imposta un metodo di input diverso per ogni finestra dell'applicazione
FIG 3 - Imposta un metodo di input diverso per ogni finestra dell'applicazione


giovedì 11 dicembre 2014

MS Exchange: abilitare un utente all'invio per conto di un Distribution Group

Per abilitare un utente ad inviare per conto di un gruppo di distribuzione (Distribution Group) è necessario procedere tramite Exchange Management Shell (EMS). Exchange Management Console, infatti, non mette a disposizione alcuna opzione per fornire questo tipo di permesso.
Il cmdlet per fornire l'abilitazione Send On Behalf su un Distribution Group è: Set-DistributionGroup
Set-DistributionGroup <Distribution_Group> -GrantSendOnBehalfTo <user>

ATTENZIONE! il metodo sopra indicato va a sostituire eventuali altri utenti/gruppi abilitati in send on behalf sulla casella. 

Per visualizzare gli utenti/gruppi abilitati in Send on Behalf sul Distribution Group possiamo utilizzare il cmdlet Get-DistributionGroup
Get-DistributionGroup <Distribution_Group> | fl name,grant*

Se vogliamo aggiungere un utente/gruppo a quelli già abilitati dobbiamo procedere in altro modo.

Innanzitutto andiamo a memorizzare i campi del Distribution Group su cui vogliamo delegare un altro utente in send on behalf all'interno di una variabile tramite il seguente comando
$gruppo = Get-DistributionGroup <Distribution_Group>

quindi, in un'altra variabile, andiamo a memorizzare l'utente che vogliamo delegare
$delegati= Get-User <utente>
Nel caso volessimo delegare gli utenti appartenenti ad un gruppo utilizziamo Get-DistributionGroup al posto di Get-User
$delegati = Get-DistributionGroup <Distribution_Group_2>

A questo punto dobbiamo aggiungere al campo GrantSendOnBehalf del primo gruppo di distribuzione, il valore contenuto all'interno del campo DistinguishedName del secondo gruppo/utente in questo modo:
$gruppo.GrantSendOnBehalfTo += $delegati.DistinguishedName

Alla fine non ci resta che settare i permessi SendOnBehalf con il comando
Set-DistributionGroup <Distribution_Group> -GrantSendOnBehalfTo $gruppo.GrantSendOnBehalfTo

Rimuovere i permessi di Send On Behalf su un Distribution Group

Per rimuovere un utente o un gruppo delegato in send on behalf su un Distribution Group dobbiamo procedere in modo analogo a quanto visto precedentemente.
Leggiamo le impostazioni del Distribution Group e memorizziamole all'interno di una variabile
$gruppo = Get-DistributionGroup <Distribution_Group>
ora abbiamo bisogna di individuare il Distinguished Name dell'utente o gruppo a cui vogliamo recovare i permessi. Per farlo utilizziamo il seguente comando
$gruppo.GrantSendOnBehalfTo | fl DistinguishedName

L'output sarà simile al seguente

DistinguishedName : CN=Gruppo_1,OU=Groups,OU=Company,DC=contoso,DC=com
DistinguishedName : CN=Gruppo_2,OU=Groups,OU=Company,DC=contoso,DC=com

Copiamo il DistinguishedName che vogliamo eliminare quindi passiamolo all'istruzione successiva come mostrato di seguito
$gruppo.GrantSendOnBehalfTo -= "CN=Gruppo_2,OU=Groups,OU=Company,DC=contoso,DC=com"

Ora non ci resta che applicare le impostazioni al Distribution Group
Set-DistributionGroup <Distribution_Group> -GrantSendOnBehalfTo $gruppo.GrantSendOnBehalfTo


Se, invece, vogliamo eliminare tutti i permessi send on behalf da un distribution Group, l'operazione è molto più semplice. Basta eseguire il seguente comando:

Set-DistributionGroup <Distribution_Group> -GrantSendOnBehalfTo $null

mercoledì 3 dicembre 2014

Windows Quick Tip: Trasformare il pc in un hotspot Wi-Fi

In questo articolo mostrerò come trasformare il proprio PC in un HotSpot Wi-Fi per condividere la connessione ad internet. È possibile effettuare tale operazione o mediante l'utilizzo di tool di terze parti, come l'ottimo Connectify, oppure utilizzando le funzionalità messe a disposizione da Windows. Ovviamente è necessario che il PC sia dotato di connessione Wi-Fi (cosa non ovvia sui PC desktop) e sia connesso ad internet.

Metodo 1: utilizzare Connectify
Utilizzare Connectify è forse il metodo più semplice. Si tratta di un utility gratuita scaricabile da www.connectify.me

Una volta scaricato e installato Connectify è necessario procedere al riavvio del sistema. Riavviato il sistema clicchiamo sul collegamento presente sul desktop nominato Connectify Hotspot. Se appare un avviso di sicurezza di Windows relativo al firewall, cliccare sul pulsante Consenti accesso
Avviso di sicurezza Windows per Connectify Hotspot
FIG 1 - Avviso di sicurezza Windows per Connectify Hotspot
Nella schermata principale del took, in Create a..., cliccare su Wi-Fi Hotspot quindi in Internet to Share selezionare la connessione ad internet che vogliamo condividere.
In Hotspot Name possiamo impostare un nome (SSID) da assegnare al hotspot e relativa password necessaria alla connessione. Per attivare l'hotspot basta cliccare sul pulsante Start Hotspot
Connectify Hotspot
FIG 2 - Connectify Hotspot


Metodo 2: utilizzare le funzionalità messe a disposizione da Windows 
Aprire il prompt dei comandi come amministratore ed eseguire il seguente comando
netsh wlan set hostednetwork mode=allow ssid=<HotspotSSID> key=<Password> keyUsage=persistent
al posto di <HotspotSSID> e <Password> vanno indicati rispettivamente il SSID che vogliamo assegnare al nostro HotSpot e la relativa password utilizzata per la cifratura WPA (la password non deve essere inferiore agli 8 caratteri e non utilizzare caratteri speciali).
Ad es.
netsh wlan set hostednetwork mode=allow ssid=giovannilubrano key=123giovanni keyUsage=persistent
Per abilitare la rete virtuale ospitata digitare il seguente comando
netsh wlan start hostednetwork
Rete ospitata
FIG 3 - Rete ospitata

A questo punto la connessione di rete virtuale è stata creata. Dal prompt dei comandi lanciamo il comando
ncpa.cpl
per visualizzare le connessioni di rete.
Connessioni di rete
FIG 4 - Connessioni di rete

Adesso non ci resta che condividere la connessione ad internet in modo tale da permetterne l'utilizzo agli utenti che si connettono al nostro PC tramite la connessione Wi-Fi appena creata.
Clicchiamo, con il tasto destro del mouse, sulla nostra connessione ad internet e dal menu contestuale selezionare Proprietà.

Nella scheda Condivisioni selezionare la voce Consenti ad altri utenti in rete di collegarsi tramite la connessione Internet di questo compupter quindi, nella casella connessione rete domestica selezionare la connessione virtuale precedentemente creata e confermare cliccando su OK
Condivisione connessione Internet
FIG 5 - Condivisione connessione Internet


Ora il Pc si comporterà come un router virtuale permettendo la condivisione della connessione ad internet tramite Wi-Fi.

Se vogliamo disabilitare la rete virtuale possiamo eseguire il seguente comando:
netsh wlan stop hostednetwork
viene visualizzato il messaggio Rete ospitata arrestata

Se vogliamo visualizzare i dettagli della connessione appena creata, inclusi i MAC address degli utenti connessi, possiamo eseguire il comando:
netsh wlan show hostednetwork

Per cambiare la chiave WPA2-PSK: 
netsh wlan refresh hostednetwork <nuova_password_WPA>

venerdì 28 novembre 2014

Outlook: sincronizzare i contatti con gmail tramite GO Contact Sync

Outlook 2013 semplifica la configurazione di un account Gmail: basta inserire l'indirizzo di posta e la password e il client di posta di Microsoft provvederà a fare il resto.
Gmail offre anche una rubrica dei contatti online. I dispositivi Android e iOS sono dotati di funzioni di sincronizzazione automatica della rubrica dei contatti di Gmail ma tale funzionalità è assente in Outlook 2013.
Se vogliamo sincronizzare anche la Rubrica di Gmail possiamo servirci di tool di terze parti come l'ottimo tool open source GO Contact Sync. Il tool può essere scaricato da QUI 
Al completamento dell'installazione viene aperta la pagina principale del tool per l'inserimento delle impostazioni. 


GO Contact Sync
FIG 1 - GO Contact Sync
Nella sezione Google Account dobbiamo inserire la user e la password del nostro account GMAIL
In Sync Options dobbiamo inserire un nome per il nostro profilo di sincronizzazione inoltre possiamo selezionare l'opzione Sync Deletion se intendiamo sincronizzare anche gli elementi cancellati: ad es. cancellando un elemento da Gmail viene eliminato anche da Outlook e viceversa. Nella stessa sezione possiamo selezionare il tipo di sincronizzazione desiderato:
  • Merge Prompt - Chiede quale contatto sovrascrivere nel caso in cui entrambi (sia quello in Outlook che quello in Gmail) siano aggiornati;
  • Merge Outlook Wins - Se entrambi i contatti sono aggiornati il contatto in Gmail viene sovrascritto;
  • Merge Google Wins - Se entrambi i contatti sono aggiornati il contatto in Outlook viene sovrascritto;
  • Outlook To Google Only - Aggiorna solo i contatti da Outlook verso Gmail;
  • Google To Outlook Only - Aggiorna solo i contatti da Gmail verso Outlook;

In Automization possiamo stabilire se il tool deve essere eseguito all'avvio di Windows (Run program at startup) e se la sincronizzazione deve avvenire automaticamente (Auto Sync) potendo anche stabilire un intervallo di tempo.
Reset Matches consente di interrompere la sincronizzazione: se ad es. cancelliamo un contatto in Outlook e non vogliamo che la cancellazione venga sincronizzata possiamo cliccare su tale pulsante.
Per avviare la sincronizzazione basta cliccare sul pulsante Sync. Nel riquadro presente in Sync Details viene mostrato il log della sincronizzazione. Avviando la sincronizzazione Outlook potrebbe mostrare una finestra di dialogo che avvisa l'utente che un'applicazione sta tentando di accedere al client di posta. Possiamo spuntare l'opzione Consenti accesso per e impostare un intervallo di tempo sufficiente per la sincronizzazione.


venerdì 21 novembre 2014

Windows Quick Tip: Riparare il Cestino danneggiato in Windows 7, Windows 8 e 8.1

In ambiente Windows, su ogni drive/partizione, è presente una cartella di sistema nascosta e protetta chiamata $Recycle.bin. Quando un file viene cancellato dalla partizione viene, per default, spostato all'interno di tale cartella in modo tale da permetterne il recupero.

Se il cestino di Windows è danneggiato possiamo riscontrare diverse anomalie quando tentiamo di utilizzarlo. Ad es. può capitare che non riusciamo più a visualizzarne il contenuto, non riuscire svuotarlo o cancellare singoli elementi oppure non riusciamo ad accedervi visualizzando un messaggio di accesso negato.

In queste situazioni possiamo provare a resettare il Cestino cancellando le cartelle $Recycle.bin.

Per resettare il Cestino:
  • Avviare il prompt dei comandi come amministratore. In windows 8 premere la combinazione di tasti WIN+X e selezionare Prompt dei comandi (amministratore)
  • digitare il seguente comando seguito da invio
    rd /s /q C:\$Recycle.bin
il comando va ripetuto per ogni partizione sostituendo C:\ con la lettera della partizione su cui vogliamo eseguire l'operazione.

Al riavvio del sistema operativo le cartelle verranno ricreate

Outlook Quick Tip: Eliminare la cronologia delle ricerche recenti

Outlook memorizza le ricerche recenti all'interno del registro di sistema. 

Per cancellare le ricerche recenti tramite il registro di sistema:
  • Chiudere Outlook;
  • Avviare l'editor del registro di sistema (regedit.exe);
  • In Outlook 2010 e antecedenti posizionarsi sulla chiave
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\<profilo_outlook>\0a0d020000000000c000000000000046

    In Outlook 2013 
    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\<profilo_outlook>\0a0d020000000000c000000000000046
    sostituendo <profilo_outlook> con il nome del proprio profilo di posta;
  • eliminare il valore DWORD 101f0445 presente all'interno della chiave.

giovedì 20 novembre 2014

Windows Quick Tip: Pulire la cache delle icone

Per velocizzare la visualizzazione delle icone, Windows utilizza un file di cache nominato IconCache.db.
Se in Windows alcune icone non vengono visualizzate correttamente oppure si ricevono messaggi di errore relativamente al file IconCache.db allora la cache delle icone potrebbe essere danneggiata e va ripristinata.
Per ripristinare la cache delle icone basta cancellare il file nascosto IconCache.db e riavviare il sistema.

In Windows XP il file si trova nel percorso
%userprofile%\Impostazioni locali\Dati applicazioni

mentre in Windows Vista, Windows 7, Windows 8 e 8.1 il file si trova in
%userprofile%\AppData\Local

Per visualizzare il file è necessario abilitare la visualizzazione dei file nascosti

Per i più pigri è possibile scaricare ed eseguire il file BAT cliccando sul seguente link
DOWNLOAD

mercoledì 19 novembre 2014

Windows 8.1: Windows Installation Media Creation Tool

Se abbiamo la necessità di reinstallare Windows 8.1 e non disponiamo del supporto di installazione, possiamo utilizzare Windows Installation Media Creation Tool messo a disposizione di Microsoft.
I prerequisiti per utilizzare questo utilissimo tool sono:
  1. Connessione ad internet per il download sia del tool che dei file di installazione di Windows 8.1
  2. Una pendrive USB da almeno 4GB o in alternativa un DVD vuoto dove andremo a masterizzare l'iso che viene scaricata dal tool
Windows Installation Media Creation Tool può essere scaricato dal seguente link
DOWNLOAD

Avviamo il tool appena scaricato. La prima schermata che ci viene proposta ci consente di selezionare la lingua del sistema operativo, la versione di Windows 8.1 (selezionabile tra Windows 8.1, Windows 8.1 N, Windows 8.1 Pro e Windows 8.1 Pro N) e l'architettura (32 o 64 bit)
Windows Installation Media Creation Tool
FIG 1 - Windows Installation Media Creation Tool

Una volta selezionate le 3 opzioni procediamo cliccando su Next.
Nella successiva schermata il tool ci consente di scegliere il tipo di supporto che vogliamo creare: pendrive USB o DVD.
Scegliendo DVD il tool provvederà a scaricare sulla postazione il file .ISO che poi dovrà essere masterizzato su supporto DVD. Selezionando la voce USB Flash Drive il tool ci chiede di indicare la pendrive, quindi procede alla formattazione della stessa e al download dei file di installazione Windows 8.1.


Windows Installation Media Creation Tool - Selezione supporto
FIG. 2 - Windows Installation Media Creation Tool - Selezione supporto

martedì 18 novembre 2014

Outlook: Il tasto Invia risulta disabilitato

Può capitare che ci inviano la bozza di un messaggio come allegato ad un'email. Provando ad aprire il messaggio in allegato noteremo che il tasto Invia risulta disabilitato.

Questo capita in quanto gli allegati in Outlook vengono aperti, per default, in modalità Solo Lettura.
Tasto Invia disabilitato
FIG 1 - Tasto Invia disabilitato

Per aggirare la limitazione possiamo operare in diversi modi (di seguito farò riferimento ad Outlook 2010 e Outlook 2013 ma i suggerimenti possono essere applicati anche ad altre versioni del client).

Metodo 1: Salva con nome 
  • Clicchiamo con il tasto destro del mouse sull'allegato e dal menu contestuale selezioniamo salva con nome.
  • Salviamo l'allegato come file .msg
  • Aprendo il file .msg appena salvato (tramite doppio click) il tasto Invia risulterà abilitato


Metodo 2: Copia nella cartella
  • Apriamo l'allegato
  • Dal menu File, all'interno della sezione Informazioni, selezioniamo Sposta nella cartella quindi Copia nella cartella...
  • Selezionare una cartella di posta in cui vogliamo salvare il messaggio che abbiamo ricevuto in allegato.
Copia nella cartella...
FIG 2 - Copia nella cartella...
A questo punto non ci resta che aprire il messaggio salvato all'interno della cartella selezionata e procedere con l'invio tramite l'apposito tasto.



Metodo 3: Aggiungere il tasto di inoltra alla barra di accesso rapido
Questo metodo è un pò più elaborato dei precedenti e conviene metterlo in atto solo se riceviamo molte email del tipo sopra descritto. Aprendo il messaggio in allegato e cliccando sul tasto di inoltra presente sulla barra di accesso rapido, si ottiene una copia "inviabile" della bozza (senza il prefisso I:)
  • Aprire il messaggio bozza ricevuto in allegato;
  • Cliccare sulla freccia in basso della barra di accesso rapido e selezionare Altri comandi...
Barra di accesso rapido - Altri comandi...
FIG 3 - Barra di accesso rapido - Altri comandi...
  • Nella sezione Scegli comandi da: assicurarsi che sia selezionata la voce Comandi più utilizzati
  • Dall'elenco dei comandi selezionare Inoltra e cliccare sul pulsante Aggiungi>> e confermare cliccando su OK
Barra di accesso rapido
FIG 4 - Barra di accesso rapido
  • A questo punto cliccando sull'icona di Inoltra presente nella barra di accesso rapido verrà creata una copia del messaggio con il tasto Invia abilitato
Icona Inoltra su barra di accesso rapido
FIG 5 - Icona Inoltra su barra di accesso rapido
NB: la combinazione di tasti CTRL+F mostrata dal ToolTip in questi casi non funziona. Provando a premere la combinazione di tasti viene aperta la finestra Trova e Sostituisci

lunedì 17 novembre 2014

Word 2013 Quick Tip: Creare una checklist

Chi di noi non ha mai creato una lista delle cose da fare? 

In questo articolo vedremo come, in pochi minuti, è possibile creare una checklist utilizzando Word 2013 con una casella per ogni voce della lista che è possibile barrare tramite l'elaboratore di testo.
  • Apriamo Word 2013 e creiamo un documento vuoto.
  • Clicchiamo, con il tasto destro del mouse, sulla barra multifunzione e dal menu contestuale selezioniamo la voce Personalizza barra multifunzione...

    Personalizza barra multifunzione...
    FIG 1 - Personalizza barra multifunzione...
  • Nel riquadro di destra della finestra Opzioni di Word, in Schede Principali, selezioniamo l'opzione Sviluppo e confermiamo cliccando su OK
    Opzioni di Word
    FIG 2 - Opzioni di Word
  • Nella barra multifunzione clicchiamo su Sviluppo quindi clicchiamo sulla casella di controllo per inserirla all'interno del nostro documento. Cliccando sulla casella di controllo inserita all'interno del documento possiamo aggiungere/rimuovere la spunta della selezione.
    Casella di controllo
    FIG 3 - Casella di controllo



Outlook Quick Tip: Spostare il pop-up dell'avviso per il desktop

Per default, alla ricezione di un nuovo messaggio di posta, Outlook visualizza un pop-up sul desktop chiamato Avviso per il desktop. Cliccando e tenendo premuto il tasto sinistro del mouse sulla parte alta del pop-up (sulla linea punteggiata) possiamo spostare il pop-up in qualsiasi parte dello schermo. Outlook "ricorda" l'ultima posizione del pop-up e visualizza i successivi nella stessa posizione.
Per resettare la posizione di visualizzazione del popup possiamo agire tramite l'editor di registro eliminando il valori XOffset, YOffset e Corner presenti all'interno della chiave
HKEY_CURRENT_USER\Software\Microsoft\Office\<versione_office>\Common\DesktopAlerts

<versione_office> indica il numero di versione di office installata (ad es. troveremo 14.0 per Office 2010 e 15.0 per Office 2013)


Avviso per il desktop
FIG 1 - Avviso per il desktop
All'interno della stessa chiave troviamo anche altri valori come i valori DWORD Opacity e TimeOn che indicano rispettivamente il livello di trasparenza e la durata del pop-up. Eliminando anche questi 2 valori verranno ripristinate le impostazioni di default.

venerdì 14 novembre 2014

Windows Quick Tip: Verificare la data di installazione originale di Windows

Per verificare la data di installazione di Windows possiamo utilizzare il comando SystemInfo dal prompt dei comandi. SystemInfo ci fornisce molte informazioni sul sistema sia relative al software (versione sistema operativo, aggiornamenti installati, nome della postazione, data di installazione di Windows, ecc.) sia relative all'hardware(produttore, modello, ram installata ecc.).
Le numerose informazioni visualizzate dal comando potrebbero essere difficili da consultare nella finestra del prompt dei comandi. Potremmo pensare di salvare tutte le informazioni all'interno di un file di testo in modo da visualizzarle comodamente con un editor di testo come ad es. blocco note. Per dirottare l'output di SystemInfo all'interno di un file di testo possiamo utilizzare il seguente comando:
systeminfo >c:\informazioni-sistema.txt

se vogliamo visualizzare solo la data di installazione originale di Windows dobbiamo utilizzare il comando:
systeminfo | find /I "Data di installazione originale"

per la versione in inglese di windows:
systeminfo | find /I "Original Install Date"


SystemInfo
FIG 1 - SystemInfo

giovedì 13 novembre 2014

Windows Quick Tip: Bypassare la finestra di dialogo di conferma eliminazione file

I file e le cartelle che cancelliamo in ambiente Windows vengono spostati, per default, all'interno del cestino. Quando cancelliamo normalmente un file o una cartella (senza usare la cancellazione definitiva tramite la combinazione di tasti SHIFT+CANC), Windows visualizza una finestra di dialogo che ci chiede di confermare o annullare l'operazione di cancellazione.


Finestra di dialogo Elimina file
FIG 1 - Finestra di dialogo Elimina file
Se vogliamo disabilitare la finestra di dialogo di conferma possiamo procedere nel seguente modo:
  • Cliccare con il tasto destro del mouse sull'icona del cestino di windows
  • Dal menu contestuale selezionare Proprietà
  • Togliere la spunta alla voce Visualizza conferma eliminazione e cliccare su Applica per rendere effettiva la modifica
Visualizza conferma eliminazione
FIG 2 - Visualizza conferma eliminazione
Da adesso in poi non ci verrà più richiesta la conferma di eliminazione ma i file cancellati continueranno ad essere spostati all'interno cestino.

mercoledì 12 novembre 2014

Gmail: Visualizzare solo i messaggi da leggere


Chi riceve molte email ogni giorno e non riesce a leggerle tutte può presto ritrovarsi con email da leggere arretrate difficili da individuare.
In questi casi può essere utile avere a disposizione una funzione/filtro che ci consenta di visualizzare solo le email da leggere. Apparentemente gmail non fornisce tale funzionalità.
Per ottenere questa funzione possiamo avvalerci dell'ottimo motore di ricerca integrato in gmail. All'interno della casella di ricerca basta digitare is:unread per ottenere tutti i messaggi non letti presenti sulla nostra casella di posta. Se vogliamo solo i messaggi non letti di una particolare cartella basta aggiungere in:<nome cartella>. Ad es se vogliamo visualizzare tutti i messaggi non letti presenti in posta in arrivo basta digitare is:unread in:inbox

Il completamento automatico ci viene in contro suggerendoci varie opzioni. Se utilizziamo spesso la ricerca possiamo salvare la pagina nei preferiti/segnalibri del browser.


FIG 1 - Gmail:messaggi da leggere

lunedì 10 novembre 2014

Windows Quick Tip: Disabilitare la schermata di blocco in Windows 8 e 8.1

Se vogliamo disabilitare la schermata di blocco presente in Windows 8.1 (e Windows 8) possiamo adottare uno dei seguenti metodi

Metodo 1
Il primo metodo che illustrerò, consiste nell'agire manualmente all'interno del registro di configurazione del sistema operativo. Questo è l'unico metodo adottabile sui sistemi su cui non è installata la versione Pro o Enterprise di Windows 8/8.1.
  • Il primo passo da seguire è quello di avviare l'editor del registro di sistema. Tramite la combinazione di tasti WIN+R viene aperta la finestra di dialogo Esegui. Digitare regedit seguito da invio.
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
  • Creare, se non presente, la chiave Personalization
  • Spostarsi all'interno della chiave Personalization quindi creare un nuovo valore DWORD (32-bit), nominarlo in NoLockScreen e valorizzarlo ad 1
Cliccando sul link di seguito è possibile scaricare i file .reg per abilitare/disabilitare la schermata di blocco
DOWNLOAD


Metodo 2
Il secondo metodo consiste nell'utilizzo dell'Editor Criteri di gruppo locali.
  • Premere WIN+R e digitare gpedit.msc seguito da invio per avviare l'Editor Criteri di gruppo locali.
  • Spostarsi su Criteri Computer locale->Configurazione computer->Modelli amministrativi->Pannello di controllo->Personalizzazione
  • Cliccare 2 volte su Non visualizzare la schermata di blocco e impostare l'opzione Attivata, quindi confermare su OK

GPEDIT: Non visualizzare la schermata di blocco
FIG 1 - GPEDIT: Non visualizzare la schermata di blocco


Non visualizzare la schermata di blocco
FIG 2 - Non visualizzare la schermata di blocco

venerdì 7 novembre 2014

Windows Quick Tip: Rimuovere l'integrazione con OneDrive da Windows 8.1


In Windows 8.1 Microsoft ha integrato il suo servizio di memorizzazione nel cloud: OneDrive (servizio un tempo conosciuto con il nome SkyDrive). Chi non utilizza il servizio OneDrive e vuole rimuovere tale integrazione nel Sistema operativo può procedere con uno dei seguenti metodi.

Metodo 1
Il primo metodo consiste nell'agire manualmente all'interno del registro di sistema creando una nuova policy. Tale metodo è l'unico adottabile nel caso in cui si utilizzi una versione standard di Windows 8.1 (quindi non una versione Pro o Enterprise).
  • Avviare l'editor del registro di sistema (regedit.exe)
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
  • Creare, se non presente, la chiave Skydrive
  • Spostarsi all'interno della chiave Skydrive e creare un nuovo valore DWORD (32-bit) nominarlo in DisableFileSync e valorizzarlo ad 1
  • Riavviare il sistema per rendere effettive le modifiche
Di seguito è possibile scaricare i file .reg per abilitare/disabilitare l'integrazione di OneDrive in Windows 8.1
DOWNLOAD



Metodo 2
Il secondo metodo consiste nell'utilizzare l’editor criteri di gruppo locali (gpedit.msc) presente a partire dalla versione Pro di Windows 8/8.1
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'editor criteri di gruppo locali
  • Posizionarsi su Criteri Computer Locale->Configurazione Computer->Modelli Amministrativi->Componenti di Windows->OneDrive
  • Eseguire doppio clic su Impedisci uso di OneDrive per archiviazione file e selezionare l'opzione Attivata quindi confermare cliccando su OK
Le modifiche, in questo caso, vengono applicate immediatamente

GPEDIT: Impedisci uso di OneDrive per archiviazione file
FIG 1 - GPEDIT: Impedisci uso di OneDrive per archiviazione file

Attiva policy Impedisci uso di OneDrive per archiviazione file
FIG 2 - Attiva policy Impedisci uso di OneDrive per archiviazione file

martedì 4 novembre 2014

Come ingannare gli antivirus

Spesso, per testare la sicurezza della nostra rete o delle nostre workstation, ci troviamo a dover utilizzare tool di terze parti che gli antivirus identificano come "Hacker tools" impedendoci di portare a termine il nostro lavoro.

In questo articolo mostrerò alcune tecniche per tentare di nascondere i nostri tools agli antivirus. Non tratterò l’argomento in maniera dettagliata in quanto per farlo sarebbe necessario pubblicare un vero e proprio libro ma cercherò di trattare le tecniche più utilizzate e dare qualche spunto al lettore che potrà, in autonomia, approfondire il tema. 




Premessa
Le tecniche che vedremo di seguito non saranno efficaci con tutti gli antivirus. Come sapete i software antivirus adottano diversi sistemi per il riconoscimento di codice maligno: analizzano i file e li confrontano con i database delle "firme", analizzano l’esecuzione dei programmi in memoria e il loro comportamento (scansione euristica), ecc. 

La scansione euristica, offerta ormai da quasi tutti i software antivirus, non si basa su database di impronte virali ma cerca di rilevare nuovi virus semplicemente verificando le operazione che il file sta cercando di eseguire. Se tali operazioni risultano sospette, allora l’antivirus provvederà a bloccare il file eventualmente segnalandolo con un messaggio di allerta. Proprio per questo modo di operare la scansione euristica è più difficile da aggirare.

Le tecniche che illustrerò saranno in grado di ingannare solo gli antivirus che analizzano il pattern/firma del file confrontandola con quelle memorizzate nel loro database di impronte virali.


Iniziamo
Uno dei tool che viene bloccato dagli antivirus in quanto considerato "Hacker Tool" è NetCat. NetCat è un programmino opensource a riga di comando molto flessibile che ci permette di ottenere la shell di un sistema remoto, eseguire la scansione delle porte, inviare email, trasferire file, chattare, creare backdoor e tant’altro.

Una versione di NetCat per Windows potete scaricarla dal seguente link

Se avete installato un antivirus è probabile che l’eseguibile venga riconosciuto come virus e bloccato o eliminato, pertanto è consigliabile disabilitare temporaneamente l’antivirus. Se non vi fidate e volete lavorare in tutta sicurezza allora vi consiglio di lavorare su una macchina virtuale.

Scompattate il file .zip in una cartella. All’interno del file zip, oltre al file eseguibile, trovano posto i sorgenti dell’applicazione.

Per verificare quanti e quali antivirus identificano l’eseguibile di NetCat (nc.exe) come virus possiamo effettuare l’upload del file su www.virustotal.com e farlo analizzare.

Virustotal è un servizio che permette l’analisi di file sospetti per la rapida identificazione di virus, malware e trojan. Il file segnalato dall’utente viene verificato confrontandolo con i database delle impronte virali dei maggiori antivirus in circolazione.

Nel nostro caso Virustotal indica che nc.exe viene segnalato come pericoloso dal 31 dei 55 antivirus in elenco. Cosa possiamo fare per migliorare la situazione?

Prima scansione con Virustotal
FIG 1 - Prima scansione con Virustotal

Opzione 1: Alterare il codice sorgente
Uno dei metodi che possiamo utilizzare è quello di andare ad alterare il codice sorgente in modo tale da alterarne l’impronta e renderlo non più riconoscibile dagli antivirus.

Nel nostro caso agiremo sul codice sorgente di NetCat che abbiamo scaricato precedentemente. Iniziamo subito con dire che aggiungere commenti al file sorgente non andrà a modificare in alcun modo il file eseguibile, infatti  tutti i compilatori ignorano i commenti passando all'istruzione successiva. Quindi dobbiamo trovare un modo per far si che il file eseguibile ottenuto sia diverso da quello originale pur mantenendo le sue funzionalità.

Un metodo per ottenere un file eseguibile leggermente diverso da quello originale è provare a modificare le impostazioni del compilatore o, meglio ancora, utilizzare un compilatore diverso. I compilatori tendono ad ottimizzare aspetti diversi dell’applicazione producendo, in questo modo, eseguibili leggermente diversi tra loro. Ad es. i compilatori Intel tendono ad ottimizzare il codice per i propri processori, il compilatore incluso in Microsoft Visual Studio, invece, ottimizzerà il file eseguibile per essere eseguito sui propri sistemi operativi ecc. Proviamo a verificare quanto ho scritto fin’ora.

  • Rinominiamo il file nc.exe in originale.nc.exe 
  • Andiamo a modificare il file makefile aprendolo con un editor di testo e andando a cancellare gli spazi antecedenti a $(cc) e $(link) sostituendoli con una tabulazione (righe 11, 14 ,  17 e 21). Questa operazione va fatta in quanto gli spazi potrebbero dare fastidio al nostro compilatore.
  • Ricompiliamo il tutto. Per chi dispone di Visual Studio Express (scaricabile gratuitamente dal sito Microsoft) oppure Visual Studio (quest’ultimo è a pagamento) è possibile compilare il file utilizzando nmake. Per utilizzare nmake è necessario avviare il prompt dei comandi di Visual Studio: da Start->Tutti i Programmi->Microsoft Visual Studio->Visual Studio Tools->Prompt dei comandi di Visual Studio
    Dal prompt dei comandi posizionarsi nella cartella contenente i file sorgenti e digitare semplicemente
    Nmake
  • Nmake provvederà a compilare i file facendo riferimento ai comandi presenti nel file makefile. Al termine della compilazione nella cartella dovremmo trovare il nuovo file nc.exe.
    Eseguiamo l’upload del file su www.virustotal.com e con grande sorpresa scopriamo che con questa semplice operazione nc.exe viene segnalato da un numero inferiore di antivirus. 
Scansione con Virustotal dopo ricompilazione
FIG 2 - Scansione con Virustotal dopo ricompilazione


  • Prima di cantare vittoria verifichiamo se il nuovo file funziona. Dal prompt dei comandi posizioniamoci nella cartella dove è presente il file nc.exe e digitiamo il seguente comando
    nc -v -w2 -z 192.168.0.3 1-200
    tale comando esegue la scansione delle porte, comprese tra 1 e 200, sulla postazione con indirizzo ip 192.168.0.3 e ci informa quali porte risultano aperte. Il comando funziona correttamente e dimostra che il nostro file è perfettamente funzionante.
  • Altre modifiche che possiamo apportare al codice sorgente sono la modifica dei nomi delle variabili globali, il nome dei metodi, modificare leggermente le procedure/funzioni. 
Nel caso in cui non avessimo a disposizione il sorgente del file allora possiamo modificare il codice aiutandoci con un debugger e un editor esadecimale. In questo caso l’operazione diventerebbe molto più complicata ma comunque fattibile.


Opzione 2: Utilizzare runtime Packers
L’utilizzo di runtime packers permette di modificare la struttura all'interno di un file eseguibile. I runtime packers non sono altro che dei software che riescono a comprimere un file eseguibile senza però togliergli la capacità di esecuzione: le dimensioni del file diminuiscono ma il file rimane comunque eseguibile. Una volta lanciati si auto decomprimono in memoria e iniziano la loro esecuzione in modo del tutto trasparente all’utente.

Di runtime Packers ce ne sono molti in circolazione, tra i più diffusi troviamo UPX, ASPack, PEProtect, UPack, PESpin, MEW, FSG e tanti altri ancora.

  • Scarichiamo UPX per Windows dal seguente URL http://upx.sourceforge.net/  e scompattiamolo
  • Copiamo il file originale.nc.exe che abbiamo visto nell’Opzione 1 nella cartella dove abbiamo scompattato UPX
  • Dal prompt dei comandi accediamo alla cartella di upx e digitiamo il seguente comando:
    upx -9 originale.nc.exe
  • Una volta che il file è stato compresso eseguiamo l’upload su www.virustotal.com ed eseguiamo l’analisi, vedremo che rispetto al file originale viene riconosciuto da un minore numero di antivirus. Non è molto ma è pur sempre un miglioramento. Nulla ci vieta di eseguire in sequenza più runtime packers per migliorare ulteriormente questo risultato, l’importante è non esagerare anche perché i miglioramenti sono limitati.

Opzione 3: Utilizzare software per proteggere il codice dal reverse engineering
Questo tipo di software, concettualmente, funziona in modo analogo ai runtime packers con la differenza che non si limita a comprimere il codice ma provvede anche a modificarne la struttura e a criptarlo per rendere difficile l’operazione di reverse.  Solitamente il codice x86 viene sostituito con un byte code proprietario.

I software più utilizzati in tal senso sono tipo Themida (www.oreans.com) e VMprotect (www.vmprotect.com) entrambi di tipo commerciale. In questo articolo mostrerò il funzionamento di Themida (sul sito www.oreans.com è possibile scaricare una demo del prodotto). La versione di Themida utilizzata è l'ultima disponibile al momento, si tratta della versione 2.3.2.0. La demo non richiede alcuna installazione, basta eseguire la versione a 32 o 64bit in base al software che si intende proteggere.

L'utilizzo del software è molto semplice, una volta avviato non ci resta che indicare il file che vogliamo proteggere e smanettare con le varie opzioni per impostare le protezioni di nostro gradimento quindi non ci resta che cliccare sul pulsante Protect.



Themida
FIG 3 - Themida
Anche lasciando tutte le impostazioni di default si ottiene un risultato discreto. Proteggendo il nostro file originale.nc.exe analizzando il file prodotto con virustotal notiamo che il numero di antivirus che segnalano il file ancora come pericoloso è molto ridotto.
Analisi di Virustotal del file protetto da Themida
FIG 4 - Analisi di Virustotal del file protetto da Themida



Opzione 4: Binding 
Nascondere l’estensione del file tramite l’apposita opzione presente nel sistema operativo o effettuare il binding sono due operazioni idonee ad ingannare l’utente ma non l’antivirus, ragione per cui verranno solo accennate in questo articolo. 

Il binding consiste nell’unire più eseguibili in uno. Tra i tool più utilizzati in passato il più noto è sicuramente eLiTeWrap piuttosto vecchiotto e ormai riconosciuto da tutti gli antivirus. Veniva utilizzato spesso per creare una backdoor con VNC.

Di programmi che effettuano il binding ce ne sono molti in giro ed è possibile costruirsene di propri con poche righe di codice. Oltre a eLiTeWrap che è gratuito e open source, troviamo File Joiner, Exe Fusion, Quick Batch File Compiler e tanti altri ancora. Possiamo persino utilizzare l’utility IExpress inclusa in Windows oppure, con gli appositi tool di compressione(ad es. Winzip e Winrar), possiamo creare un file autoestraente in cui specifichiamo un file da eseguire al termine dell’estrazione. L’icona dei file creati con utility come IExpress, Winrar e Winzip sono facilmente riconoscibili e possono insospettire l’utente ma possiamo modificarle facilmente utilizzando tool come Resource Hacker  (http://angusj.com/resourcehacker).

Basta fare una piccola ricerca con google per trovare tante altre utility adatte a questo scopo.


Altre Opzioni


Modificare con debugger ed editor esadecimale il file eseguibile

Utilizzando software come LordPe, Hex Workshop e Ollydbg è possibile andare a modificare direttamente il file eseguibile magari  aggiungendo una routine di codifica/decodifica  eseguita a runtime, ad es. una routine XOR,  così come dimostrato da Mati Aharoni (esperto di sicurezza informatica che ha contribuito allo sviluppo di BackTrack) allo Shmoocon 2008(convention annuale degli hacker sulla east coast degli Stati Uniti).

L’operazione consiste nell’inserire uno stub all’interno del file con il compito di criptare/decriptare il file.  In pratica procediamo nel seguente modo:


Aggiungiamo alla fine del file dei byte in modo da creare spazio per la nostra routine;

  • Inseriamo la nostra routine alla fine del file;
  • Modifichiamo la prima istruzione del file in modo tale che salti alla prima istruzione della routine appena aggiunta;
  • Al termine della nostra routine inseriamo un salto per ritornare al flusso originale del programma
Per semplicità ci atteniamo all'esempio fatto da Mati Aharoni utilizzando una routine che esegue l’XOR pertanto non parliamo più di criptare/decriptare ma di codifica/decodifica.


  • Aprire il file binario con LordPE, cliccare sul pulsante Sections quindi, nella nuova finestra dal titolo [ Section Table ], cliccare sulla riga .idata con il tasto destro del mouse e selezionare, dal menu contestuale, la voce edit section header. Andiamo a modificare i campi VirtualSize e RawSice aggiungendo il valore 1000.

    LordPE Sections
    FIG 5 - LordPE Sections

    LordPE .idata
    FIG 6 - LordPE .idata
  • Clicchiamo sul pulsante accanto al campo Flags e, nella finestra che appare, assicuriamoci di impostare il Flag Executable as a code. Confermiamo la modifica cliccando sul pulsante OK fino a ritornare alla finestra [ Section Table ]

    LordPE [ Section Flags]
    FIG 7 - LordPE [ Section Flags] 
  • Clicchiamo con il tasto destro del mouse in corrispondenza della riga .text e, dal menu contestuale, selezioniamo la voce edit section header.
  • Clicchiamo sul pulsante accanto al campo Flags e impostiamo il flag Writeable. Tale opzione va abilitata in quanto l’operazione di codifica/decodifica avverrà proprio nella sezione .text. Confermiamo la modifica cliccando sempre su OK fino a ritornare alla finestra [ Section Table ]. Chiudiamo la finestra quindi clicchiamo prima sul pulsante Save e successivamente su OK
    Possiamo chiudere l’applicazione Lord PE

    LordPE [ Section Flags ]
    FIG 8 - LordPE [ Section Flags ]
A questo punto tentando di eseguire il file verrà visualizzato un messaggio di errore che avvisa l’utente che non si tratta di un’applicazione Windows valida. Ciò è dovuto al fatto che abbiamo indicato le nuove dimensioni della sezione .idata senza modificare le dimensioni effettive del file e questo manda in tilt l’IP. Ecco che per rimediare utilizziamo un altro tool Hex Workshop.
  • Avviamo Hex Workshop e posizioniamoci alla fine del file, clicchiamo con il tasto destro e dal menu selezioniamo la voce Insert

    Hex Workshop
    FIG 9 - Hex Workshop
  • Nel campo Number of bytes inseriamo 1000 (per il nostro scopo possiamo inserire anche meno byte ma meglio tenerci larghi) e assicuriamoci che l’opzione Hex sia selezionata. Clicchiamo su OK e salviamo il file. Possiamo uscire da Hex Workshop.

    Hex Workshop
    FIG 10 - Hex Workshop
Adesso tentando di eseguire il nostro file non riceveremo più alcun messaggio di errore. Le operazioni che abbiamo eseguito fino a questo momento hanno aggiunto lo spazio per l’inserimento della nostra routine XOR. Per questa attività ci serviamo di Ollydbg.
  • Apriamo il nostro file da Ollydbg. Il debugger si posiziona subito sulla riga di nostro interesse (entry Point) che è rappresentata dalla prima istruzione. Copiamo le prime 4 righe e incolliamole in blocco note, ci serviranno più tardi per il return dalla nostra routine.
    Per semplicità di seguito riporto le righe di nostro interesse che andremo a copiare:
    00404C00 > $ 55             PUSH EBP
    00404C01   . 8BEC           MOV EBP,ESP
    00404C03   . 6A FF          PUSH -1
    00404C05   . 68 00B04000    PUSH nc.0040B000
    OllyDbg
    FIG 11 - OllyDbg 
  • Visualizziamo la Memory Map: dal menu View selezionare la voce Memory. Nella nuova finestra cliccare 2 volte sulla sezione .idata
    .
    OllyDbg Memory Map
    FIG 12 - OllyDbg Memory Map
  • A questo punto si aprirà una nuova finestra contenente il dump della sezione .idata. Scorriamo e individuiamo il punto in cui iniziano i byte da noi inseriti. Non è importante essere estremamente precisi, possiamo anche non selezionare con precisione il punto di inizio del nostro blocco ma un po’ di indirizzi più avanti. Troviamo che l’indirizzo 00412830 fa al caso nostro.
  • Chiudiamo la schermata e la finestra Memory Dump per ritornare alla schermata principale (CPU - main thread). Posizioniamoci sulla prima riga che abbiamo copiato (Nel nostro caso all’indirizzo 00404C00. Nel caso ci fossimo spostati inavvertitamente: selezionare una riga qualsiasi, cliccarci su con il tasto destro del mouse quindi selezionare go to e successivamente Origins. Se Origins non appare nel menu vuol dire che siamo già sulla prima riga)
  • Adesso dobbiamo modificare il flusso di esecuzione. Clicchiamo 2 volte sulla prima riga. Apparirà una finestra che ci permetterà di modificare l’istruzione. Inseriamo nell'apposito campo l’istruzione JMP 00412830 dove 00412830 rappresenta il punto di inizio del nostro blocco vuoto aggiunto precedentemente e da cui faremo iniziare la nostra routine

    OllyDbg JMP
    FIG 13 - OllyDbg JMP
  • Dopo l’inserimento dell’istruzione JMP notiamo che anche le righe immediatamente successive sono modificate. Adesso dobbiamo individuare l’intervallo di indirizzi che ci interessa codificare. La codifica dovrà partire dall'istruzione immediatamente successiva a quella di JMP da noi inserita, quindi si parte dall'indirizzo 00404C05. Scorriamo fino a raggiungere quasi la fine del file e notiamo che dall'indirizzo  0040A770 non ci sono più istruzioni. Quindi possiamo concludere che l’intervallo che ci interessa codificare/decodificare va dall'indirizzo 00404C05 al  0040A770
  • Salviamo il file nel seguente modo: clicchiamo con il tasto destro del mouse in un qualsiasi punto del codice assembly, selezioniamo la voce copy to executable quindi selezioniamo all modification e successivamente copy all. Nella nuova finestra che appare clicchiamo nuovamente in un punto qualsiasi con il tasto destro del mouse e selezioniamo save file. Diamo il nome al file e procediamo con il salvataggio.
  • Apriamo il file appena salvato in Ollydbg. Dovremmo già essere posizionati sull Entry point (00404C00 JMP 00412830). Premiamo il tasto F7 che ci porterà all'indirizzo 00412830 dove aggiungeremo la nostra routine XOR. A partire dall'indirizzo 00412830 dobbiamo inserire le istruzioni della nostra routine così come visto precedentemente con l’istruzione JMP 00412830. Di seguito riporto le istruzioni da inserire:
    MOV EAX, 00404C05 # Memorizza l'indirizzo da cui iniziare la codifica/decodifica
    XOR BYTE PTR DS:[EAX],0F # Esegue una XOR
    INC EAX # incrementa EAX
    CMP EAX, 0040A770 #verifica se abbiamo raggiunto la fine della parte da codificare..
    JLE SHORT <XOR LOOP> #..altrimenti, salta nuovamente al comando xor
    Al posto di <XOR LOOP> va messo l’indirizzo dell’istruzione XOR BYTE PTR DS:[EAX],0F, nel nostro caso tale indirizzo è 00412835
  • Sempre proseguendo aggiungiamo anche le istruzioni che abbiamo copiato nel blocco note
    PUSH EBP
    MOV EBP,ESP
    PUSH -1

    Al posto dell’istruzione  00404C05   . 68 00B04000    PUSH nc.0040B000 utilizziamo la seguente
    JMP 00404C05
    Da notare che il salto viene fatto all’indirizzo 00404C05 che rappresenta l’indirizzo della istruzione PUSH originaria
  • Salviamo il file come abbiamo fatto precedentemente ed eseguiamolo da Ollydbg. Otteniamo un errore di accesso: Access Violation when reading…
    L’errore è dovuto al fatto che il file è stato codificato con la routine XOR quindi il programma sta cercando di eseguire un istruzione codificata che, ovviamente, non riconosce come valida. Adesso non ci resta che copiare le istruzioni codificate e salvarle come un file eseguibile, in questo modo alla successiva esecuzione la routine XOR provvederà a decodificarlo in memoria.
    Selezioniamo le righe da 00404c05 - 0040A770 che rappresenta la parte di file codificata dalla routine XOR. Clicchiamo con il tasto destro sulle righe selezionate quindi scegliamo copy to executable e successivamente selection. Nella nuova schermata clicchiamo nuovamente con il tasto destro e selezioniamo Save file.

    OllyDbg copy to executable
    FIG 14 - OllyDbg copy to executable
Abbiamo terminato. Adesso il file codificato è salvato sul disco. Al successivo avvio del file la routine XOR provvederà ad effettuare la decodifica in memoria.
Adesso non ci resta che verificare, tramite virustotal se il file modificato viene ancora riconosciuto dagli antivirus . Eseguiamo l’upload sul sito www.virustotal.com e procediamo con l’analisi. Il file viene ancora riconosciuto come pericoloso da molti antivirus. Ovviamente utilizzando un tipo di codifica semplice come quella XOR non potevamo aspettarci risultati miracolosi ma nulla ci vieta di sostituire la nostra routine con una più complessa ed efficace.


PE-Scrambler
PE-Scrambler è un tools creato da Nick Harbour che effettua lo scrambler e l’offuscamento del codice in un file binario (istruzioni e chiamate di funzioni). Il tool fu presentato al DEFCON del 2008. Il tool, seppur obsoleto, è ancora possibile trovarlo in rete facendo una ricerca con google 
L’utilizzo è molto semplice. Da riga di comando basta digitare

pescrambler -i <INPUT.exe> -o <OUTPUT.exe>


Il punto debole dei compressori tipo UPX sta proprio nel loro modo di operare. Questi  tool comprimono/criptano il codice binario ed aggiungono al file uno stub che permette, in fase di esecuzione, di procedere all’operazione inversa in memoria. Una volta eseguito il file, lo stub verrà eseguito prima di ogni altra istruzione e provvederà a decomprimere/decriptare le successive istruzioni in memoria. Gli antivirus che verificano i dati presenti in RAM, confrontandoli con il database delle impronte virali, riconoscono in questo modo il file sospetto bloccandolo.

PE-Scrambler funziona in modo leggermente diverso. Il tool, dopo aver effettuato il disassembler del file binario, effettua lo scrambler dei dati e delle istruzioni presenti. All'interno del file viene aggiunta una funzione di 65-byte che effettua da dispatcher per tutte le altre chiamate a funzione. Il tool, infatti, provvede ad individuare tutte le chiamate a funzione, interne ed esterne, e le dirotta al dispatcher che provvede a richiamarle correttamente utilizzando una tabella di lookup contenente l’indirizzo di ritorno e quello target.

Gli antivirus hanno preso le contromisure adeguate e utilizzando questo tool non si ottengono risultati apprezzabili.



NTFS Alternate Data Streams 

Un altro metodo utilizzato per nascondere file sospetti dall’antivirus è quello di utilizzare NTFS Alternate Data Streams, ma nel nostro caso questa opzione è da scartare in quanto, per poter procedere alla creazione di un ADS, è necessario prima che il file binario sia presente sulla macchina target e per fare ciò è necessario aver già ingannato l’antivirus. Inoltre tale tecnica funzionerebbe solo su partizioni NTFS. Trasferendo il file su altri file system, ad es su file system FAT di una penna USB,  l’ADS verrebbe perso.


Cygwin

Ricompilare il file con Cygwin è un’altra ipotesi da scartare in quanto in questo caso dovremmo distribuire l’eseguibile con la libreria cygwin.dll, una cosa non molto conveniente.


Conclusioni

Come si può immaginare l’argomento è molto vasto e in continua evoluzione e trattarlo nella sua interezza richiede molto spazio e tempo. Con questo articolo ho trattato una minima parte dell'argomento utilizzando anche tool non più utilizzati ma spero di aver suscitato la curiosità di qualche lettore ad un approfondimento. Ritornerò comunque sull'argomento.