Hello,
J'ai un .exe qui créé à la volée un .bat dans un fichier temporaire.
Dès que le .exe se termine le .bat est supprimé (et c'est super rapide).
J'aimerais capturer ce fichier, avez-vous une idée quels outils utiliser ?
J'ai essayer photorec et recuva pour tenter de récupérer le fichier supprimé mais sans succés.
Capturer un fichier
- Messages : 110333
- Inscription : 10 sept. 2005 13:57
Re: Capturer un fichier
yop sio,
Essaye de faire un bat qui lance l'exe et un suspend derrière : http://technet.microsoft.com/en-us/sysi ... s/bb897540
Sinon faut lancer l'exe pas à pas, style avec un debugger.
Essaye de faire un bat qui lance l'exe et un suspend derrière : http://technet.microsoft.com/en-us/sysi ... s/bb897540
Sinon faut lancer l'exe pas à pas, style avec un debugger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Capturer un fichier
merci, je vais tester.
PS : j'ai fait le ménage dans ma boite de réception... c'était plein ^^
PS : j'ai fait le ménage dans ma boite de réception... c'était plein ^^
Re: Capturer un fichier
Nouveau challenge.
un .exe qui crée un .vbs dans un répertoire de appdata\local\temp
Mais cette fois je n'y arrive pas avec pssuspend, le fichier s’exécute trop rapidement.
j'aurais bien freezé le .vbs créé mais il a un nom aléatoire, du coup ça ne fonctionne pas avec pssuspend...
Une autre idée ? (un mode debug en exécution pas à pas ou un autocopy par exemple)
un .exe qui crée un .vbs dans un répertoire de appdata\local\temp
Mais cette fois je n'y arrive pas avec pssuspend, le fichier s’exécute trop rapidement.
j'aurais bien freezé le .vbs créé mais il a un nom aléatoire, du coup ça ne fonctionne pas avec pssuspend...
Une autre idée ? (un mode debug en exécution pas à pas ou un autocopy par exemple)
Re: Capturer un fichier
C'est bon, j'ai utilisé moveout : http://www.donationcoder.com/Software/S ... ml#MoveOut
- Messages : 110333
- Inscription : 10 sept. 2005 13:57
Re: Capturer un fichier
pas trop compris avec moveout.
Comment ça a permis de récup le VBS?
Comme il est plus dans temp, l'exe n'est pas foutu de le supprimer ?
Comment ça a permis de récup le VBS?
Comme il est plus dans temp, l'exe n'est pas foutu de le supprimer ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Capturer un fichier
moveout déplace le fichier quand il est créé, du coup il n'est plus supprimé
Mais je pense qu'on peut trouver mieux que moveout, car il ne scanne qu'au minimum que toutes les secondes.
Mais je pense qu'on peut trouver mieux que moveout, car il ne scanne qu'au minimum que toutes les secondes.
- Messages : 110333
- Inscription : 10 sept. 2005 13:57
Re: Capturer un fichier
Ca doit être aussi inérant à la manière dont c'est codé.
Genre si y a le chemin complet temp, ça doit marcher
mais si le fichier utilise les api de Windows, Windows doit renvoyer la dernière localisation.
Enfin j'imagine.
Genre si y a le chemin complet temp, ça doit marcher
mais si le fichier utilise les api de Windows, Windows doit renvoyer la dernière localisation.
Enfin j'imagine.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
-
Plantage lors d’enregistrement de fichier ou de modification du nom de fichier (Win10)
par Ludogaronne » » dans Réseau - 4 Réponses
- 134 Vues
-
Dernier message par Ludogaronne
-
-
- 8 Réponses
- 376 Vues
-
Dernier message par pattos
-
- 3 Réponses
- 64 Vues
-
Dernier message par Parisien_entraide
-
-
Impossible trouver fichier script démarage windows [Résolu]
par jpparis10 » » dans Windows : Résoudre les problèmes - 7 Réponses
- 403 Vues
-
Dernier message par Malekal_morte
-
-
- 0 Réponses
- 256 Vues
-
Dernier message par spip93