Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Comportements de l'explorateur Windows sur GUID / CLSID

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Comportements de l'explorateur Windows sur GUID / CLSID

Message par ѠOOT »

Bonjour,

Simple remarque concernant l'échantillon Lizarbot.

* Backdoor:MSIL/Lizarbot.A:Backdoor
* MSIL/IRCBot.CK
* Trojan.Agent.BFKV
* Win.Trojan.Lizarbot


Celui-ci créer le fichier "7e16feb9fead31b3a3bcd6c2a2e1225e" à un emplacement immuable.

→ %ALLUSERSPROFILE%\Application Data\.{7e16feb9-fead-31b3-a3bc-d6c2a2e1225e}\7e16feb9fead31b3a3bcd6c2a2e1225e

En gras, un point suivi de 4 octets et 3 groupes de 2 octets puis 6 octets soit 16 octets.
Voilà qui ressemble fort à un GUID / CLSID, n'est-il point ?

Quoi qu'il en soit, voici le comportement de l'explorateur Windows lorsque
l'utilisateur va vouloir parcourir ce dossier pour l'inspecter.

Image

Est-ce calculé pour perturber l'utilisateur ou bien est-ce un hasard ?

Si vous souhaitez reproduire avec un autre exemple de votre choix.
L'explorateur refuse de créer un répertoire commençant par un point.
Mais c'est parfaitement faisable depuis l'interpréteur de commandes.
La commande MKDIR permet de créer un répertoire dans le chemin.

MKDIR ".{00000000-0000-0000-0000-000000000000}"

Via l'explorer, on obtient alors la même fenêtre "Ouvrir avec".

Autre bizarrerie en lançant l'explorateur via l'interpréteur.
Image

Ce que vous voyez à l'écran via l'explorateur Windows ne reflète pas la réalité.

Voici une démonstration simple qui devrait calmer les sceptiques.

MKDIR "C:\WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}"

Image

Deux dossiers qui visuellement semblent avoir le même nom.

<REP> WINDOWS
<REP> WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}


Le nom préfixe le CLSID ce qui permet d'en créer sans limite.

Un brin d'imagination et vous obtiendrez des illusions parfaites.
Techniques qui, bien employées, peuvent s'avérer redoutables.

Essayez d'entrer dans ce répertoire depuis l'explorateur.
MKDIR "C:\HAHA.{59031A47-3F72-44A7-89C5-5595FE6B30EE}"

Maintenant appuyer sur la touche F3 pour chercher "hoho" dans C:\
Si votre système ne gère pas correctement, l'explorateur va planter.

Et ce dernier exemple vous incitera peut-être à chercher plus loin.
MKDIR "C:\IE.{871C5380-42A0-1069-A2EA-08002B30309D}"

Utilitaire pratique, ActiveXHelper de NirSoft.

Amusez-vous bien.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 102118
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comportements de l'explorateur Windows sur GUID / CLSID

Message par Malekal_morte »

L'affichage sur l'explorateur est souvent trompeur, on a la même chose avec les caractères unicode :(

interressant PDT_001
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Tech, Tips & Tricks »