Mise à jour au 29/07/2020
Rappel : Les différents outils proposés peuvent faire "couiner" les antivirus (qui peuvent vous les mettre en quarantaine), et dans l'absolu, c'est.. Normal, aux vues des fonctions et possibilités de ces outils, qui sont AUSSI utilisés par les hackers
Ex
https://www.borncity.com/blog/2020/04/1 ... -tool-ein/
Ces outils ne sont pas des jouets
Alors oui il s'agit de faux positifs, mais pas toujours, et il est difficile souvent d'en déterminer la cause sauf à effectuer des analyses
Cependant il a été isolé une faille dans le programme "AdvancedRun"
Ce programme permet d'agir sur les priorités, élévations de privilèges, permissions, ... avec depuis la 1.15 un menu déroulant
2020-07-29_154215.jpg
En plus on peut ajouter un menu contextuel à l'explorateur windows, ce qui fait qu'on peut ensuite agir directement sur le fichier
Un clic droit par exemple sur un programme .exe laisse apparaitre la fonction "Advanced Run", ce qui lancera le programme AdvancedRun, et on pourra ensuite agir sur le fichier exécutable que l'on a choisi
2020-07-29_155318.jpg
La faille :
J'avais laissé l'article source de côté pour voir si cela avait évolué depuis Avril
La faille consiste en un détournement de .dll quui est possible du fait du fonctionnement du programme (ce qu'un malware pourrait faire car c'est uun grand classique)
Microsoft avait signalé ce type de vulnérabilité et donné des indications aux développeurs
https://support.microsoft.com/en-us/hel ... llow-remot
https://docs.microsoft.com/en-us/securi ... 10/2269637
Et il n'y a pas que les outils Nirsoft
https://borncity.com/win/2019/12/19/adw ... erability/
cela a été corrigé puis
https://borncity.com/win/2020/04/04/adw ... erability/
Alors le problème avec AdvancedRun, c'est que cela avait été testé avec la version 1.15 on en est à la v1.21 (de mi juin 2020) au moment où je tapote ces lignes
En fait le programme est passé de la 1.15 à la 1.20 directement puis à la 1.21
RIEN dans le changelog n'indique la résolution du problème
Diverses personnes ont essayé de contacter l'auteur qui n'a jamais répondu
Le programme à ce jour est sain et ne fait pas réagir les AV
2020-07-29_163220.jpg
https://www.virustotal.com/gui/file/8ae ... 1595283811
et diverses autres analyses le démontrent
Le programme tente toujours de recharger certaines .dll à partir de son propre dossiier
2020-07-29_174120.jpg
Source
https://borncity.com/win/2020/04/16/dll ... oft-tools/
Si vous souhaitez vous lancer dans les analyses en mode local (dans une VM par ex avec un Win7) avec le meme outil que l'auteur source
https://skanthak.homepage.t-online.de/s ... l#download
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.