Capturer un fichier

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Capturer un fichier

Message par sioban » 05 janv. 2015 17:20

Hello,

J'ai un .exe qui créé à la volée un .bat dans un fichier temporaire.
Dès que le .exe se termine le .bat est supprimé (et c'est super rapide).

J'aimerais capturer ce fichier, avez-vous une idée quels outils utiliser ?

J'ai essayer photorec et recuva pour tenter de récupérer le fichier supprimé mais sans succés.




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92397
Inscription : 10 sept. 2005 13:57
Contact :

Re: Capturer un fichier

Message par Malekal_morte » 05 janv. 2015 18:14

yop sio,

Essaye de faire un bat qui lance l'exe et un suspend derrière : http://technet.microsoft.com/en-us/sysi ... s/bb897540

Sinon faut lancer l'exe pas à pas, style avec un debugger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Re: Capturer un fichier

Message par sioban » 05 janv. 2015 18:33

merci, je vais tester.

PS : j'ai fait le ménage dans ma boite de réception... c'était plein ^^

sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Re: Capturer un fichier

Message par sioban » 06 janv. 2015 08:38

c'est bon j'ai réussi en utilisant pssuspend ;)

sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Re: Capturer un fichier

Message par sioban » 06 janv. 2015 11:05

Nouveau challenge.

un .exe qui crée un .vbs dans un répertoire de appdata\local\temp

Mais cette fois je n'y arrive pas avec pssuspend, le fichier s’exécute trop rapidement.
j'aurais bien freezé le .vbs créé mais il a un nom aléatoire, du coup ça ne fonctionne pas avec pssuspend...

Une autre idée ? (un mode debug en exécution pas à pas ou un autocopy par exemple)


sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Re: Capturer un fichier

Message par sioban » 06 janv. 2015 13:58


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92397
Inscription : 10 sept. 2005 13:57
Contact :

Re: Capturer un fichier

Message par Malekal_morte » 07 janv. 2015 11:22

pas trop compris avec moveout.
Comment ça a permis de récup le VBS?

Comme il est plus dans temp, l'exe n'est pas foutu de le supprimer ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 22:28

Re: Capturer un fichier

Message par sioban » 07 janv. 2015 11:25

moveout déplace le fichier quand il est créé, du coup il n'est plus supprimé

Mais je pense qu'on peut trouver mieux que moveout, car il ne scanne qu'au minimum que toutes les secondes.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92397
Inscription : 10 sept. 2005 13:57
Contact :

Re: Capturer un fichier

Message par Malekal_morte » 09 janv. 2015 21:05

Ca doit être aussi inérant à la manière dont c'est codé.
Genre si y a le chemin complet temp, ça doit marcher
mais si le fichier utilise les api de Windows, Windows doit renvoyer la dernière localisation.

Enfin j'imagine.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Securite informatique »