Bien, entre ante-ayer, ayer y hoy, he estado toqueteando batch y python para hacerme unos scripts/programas para facilitarme un poco un par de cosas que suelo hacer.
1. Checkear tooodos lso correos que tengo, se va abriendo 1 por 1 cada 4-5 segundos, así no consumo tanta RAM de golpe al abrirlos todos de golpe.
2. Chekear los registros de auditoría (REGEDIT) "Run", no se los nombres técnicos ni anda, pero vamos, en un par de rutas, en la "carpeta" Run, es donde se crean valores de cadena para que al iniciar Windows/iniciar sesión, se ejecuten x programas, muchas de las aplicaciones que salen en la ventana INICIO del administrador de tareas, salen ahí porque en el REGEDIT están puestos, un ejemplo:
Bien, lo que hace este script es comprobar esas dos direcciones, (la de la imagen, y la misma pero cambiando un directorio del principio, en vez de HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER.
Y comprobar los archivos que hay en la carpeta Inicio <Windows + R shell:startup> o <"C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup">, para comprobar si algún programa ha sido movido ahí para que se ejecute al iniciar el ordenador, lo dicho, esto es para un análisis MUUUUY básico, aunque muchos malwares se encuentran fácilmente en esos directorios de los registros de auditoría.
Aquí dejaré varias cosas:
Repito, es muy básico, en caso de dar error no hay nada que lo indique, simplemente se cierra la ventana de la terminal, he hecho una modificación y es que tu tengas que poner el usuario de tu windows, para que la dirección del directorio sea a medida de cada persona.
Una imagen del proceso:
1. Checkear tooodos lso correos que tengo, se va abriendo 1 por 1 cada 4-5 segundos, así no consumo tanta RAM de golpe al abrirlos todos de golpe.
2. Chekear los registros de auditoría (REGEDIT) "Run", no se los nombres técnicos ni anda, pero vamos, en un par de rutas, en la "carpeta" Run, es donde se crean valores de cadena para que al iniciar Windows/iniciar sesión, se ejecuten x programas, muchas de las aplicaciones que salen en la ventana INICIO del administrador de tareas, salen ahí porque en el REGEDIT están puestos, un ejemplo:
Bien, lo que hace este script es comprobar esas dos direcciones, (la de la imagen, y la misma pero cambiando un directorio del principio, en vez de HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER.
Y comprobar los archivos que hay en la carpeta Inicio <Windows + R shell:startup> o <"C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup">, para comprobar si algún programa ha sido movido ahí para que se ejecute al iniciar el ordenador, lo dicho, esto es para un análisis MUUUUY básico, aunque muchos malwares se encuentran fácilmente en esos directorios de los registros de auditoría.
Aquí dejaré varias cosas:
- Script formato Python:
- Programa ejecutable:
- Código:
Código:
import subprocess
import sys
import os
from time import sleep
print("Checking shell:start folder...")
sleep(2)
q1 = input("Windows user: ")
if len(os.listdir('C:/Users/' + q1 + '/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup') ) == 0:
print("Directory is empty")
else:
os.system('dir "C:/Users/' + q1 + '/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup"')
sleep(2)
print("\nChecking HKLM:/Software/Microsoft/Windows/CurrentVersion/Run...")
sleep(2)
p = subprocess.Popen(['powershell.exe', 'Get-ItemProperty HKLM:/Software/Microsoft/Windows/CurrentVersion/Run'], stdout=sys.stdout)
sleep(2)
print("Checking HKCU:/Software/Microsoft/Windows/CurrentVersion/Run...")
sleep(2)
p = subprocess.Popen(['powershell.exe', 'Get-ItemProperty HKCU:/Software/Microsoft/Windows/CurrentVersion/Run'], stdout=sys.stdout)
sleep(2)
print("\nProgram created by Dark")
input("\n> PRESS ANY KEY TO EXIT <")Repito, es muy básico, en caso de dar error no hay nada que lo indique, simplemente se cierra la ventana de la terminal, he hecho una modificación y es que tu tengas que poner el usuario de tu windows, para que la dirección del directorio sea a medida de cada persona.
Una imagen del proceso:
