je suis victime d'une infection à la suite d'une agression multiple detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
du me planter..... :(
le premier symptome a été une hyperactivité du cpu à 100% avec
ralentissement ++, puis bug dans outlook 2007 pour finalement ne plus
pouvoir le demarrer. dans le repertoire d outlook le fichier de donné a
disparu (effacé lors du travail du cpu à 100% ?). Depuis le pc rame avec une
activité du cpu minime, avira antivir est affiché dans la barre de tache
comme fermé. j'ai lancé malwarebytes qui rame un max depuis 24 heures et qui
a trouvé un élément infecté.
en mode sans echec un écran bleu avec le message suivant:"
IRQL_NOT_LESS_OR_EQUAL " qui m 'empeche d aller plus loin........
malwarebytes est il efficace ? dois je le laisser continuer ?
dois passer à autre chose ?
merci de votre aide
Le Sat, 30 Jan 2010 09:18:21 +0100, Roland Garcia a écrit:
rm a écrit :
Salut, Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia a écrit:
DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re
je viens de voir que dans la quarantaine d avira antivir il s'agit de rkit/kryptic.763904
y a t il un exe spécifique ?
C'est fini les exe spécifiques, du moins pour les infections mod ernes
Il y a même très longtemps et c'est une particularité de Windo ws, une petite expérience peut le démontrer:
Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renomme r successivement calc.pif et calc.scr et vérifier que ça lance dan s les deux cas la calculatrice.
L'explication est simple: Windows ne regarde pas dans ce cas là l'extension mais la nature du fichier. Et comme il voit qu'il commen ce par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE et le lance comme tel.
Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se lancer, non ?
Non.
Malheureusement, je crains que Windows fasse toujours confiance à l a bonne vieille branche HKCR de sa fantastique base de registre :) C'est là dedans que les extensions y sont associées à un type q ui lui même sera associé à une action/commande opérable par le systè me ou une de ses applications.
Oui et non.
Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lanc era pas, sauf si on la rajoute dans la BDR.
Non car Windows regarde quand même si le programme commence par MZ p our différencier un programme Windows d'un programme DOS.
Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas mon vieux F-Prot 2.28 contient bien cette en-tête)
Pour preuve un .pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait toujours que c'est un .exe
Si je renomme mon f-prot.exe en f-prot.pif, FProt ne se lance plus, malg ré son en-tête MZ :) Par contre, si je le renomme en f-prot.scr et le lance bien dans une ntvdm.exe dédiée aux vieux programmes DOS 16 bits
Si tu modifies le MZ de ton calc.scr, Windows essayera quand même d e le lancer mais te dira que ton programme est tout cassé.
Non, il considèrera que c'est un programme DOS et essayera de le lan cer dans la console, évidemment cela ne marchera pas.
Je ne suis vraiment pas trop convaincu par cet argument DOS/Windows. Je pense vraiment que ces exécutables sont lancés quelque soit leur extension, à partir du moment où il y a, en Base de Registre, "%1" % * dans la clé shell/open/command associé à leur type. Si par exemple, tu fusionnes un truc comme
en base de registre, tous les fichiers (même un vulgaire fichier texte ne commençant pas par "MZ" !) d'extension .exe lanceront la calculette...
Pour montrer que ce PB est connu et ancien le filtrage des pièces attachées sur un MTA se fait préférentiellement sur la nature du fichier et non l'extension, exemple l'option par défaut de Renattach:
"Delete executable binary attachments by signature. renattach looks for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
If an executable is found, the encoded attachment will be removed while the MIME header remains unchanged. This is a feature that works independently of filename-based filtering, designed as a backup. The net effect is that encoded executables are deleted. Email clients will see 0-byte attachments." http://www.pc-tools.net/unix/renattach/renattach-manual-1.5.pdf
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tête MZ pour détecter un fichier joint exécutable déguisé avec une autre extension que le système d'exploitation fait pareil :-D
@+ -- rm - http://opera-fr.com
Le Sat, 30 Jan 2010 09:18:21 +0100, Roland Garcia
<roland-garcia@wanadoo.fr> a écrit:
rm a écrit :
Salut,
Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia
<roland-garcia@wanadoo.fr> a écrit:
DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re
je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904
y a t il un exe spécifique ?
C'est fini les exe spécifiques, du moins pour les infections mod ernes
Il y a même très longtemps et c'est une particularité de Windo ws, une
petite expérience peut le démontrer:
Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renomme r
successivement calc.pif et calc.scr et vérifier que ça lance dan s les
deux cas la calculatrice.
L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commen ce
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.
Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi
se lancer, non ?
Non.
Malheureusement, je crains que Windows fasse toujours confiance à l a
bonne vieille branche HKCR de sa fantastique base de registre :)
C'est là dedans que les extensions y sont associées à un type q ui lui
même sera associé à une action/commande opérable par le systè me ou une
de ses applications.
Oui et non.
Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lanc era
pas, sauf si on la rajoute dans la BDR.
Non car Windows regarde quand même si le programme commence par MZ p our
différencier un programme Windows d'un programme DOS.
Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas
mon vieux F-Prot 2.28 contient bien cette en-tête)
Pour preuve un
.pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait
toujours que c'est un .exe
Si je renomme mon f-prot.exe en f-prot.pif, FProt ne se lance plus, malg ré
son en-tête MZ :)
Par contre, si je le renomme en f-prot.scr et le lance bien dans une
ntvdm.exe dédiée aux vieux programmes DOS 16 bits
Si tu modifies le MZ de ton calc.scr, Windows essayera quand même d e le
lancer mais te dira que ton programme est tout cassé.
Non, il considèrera que c'est un programme DOS et essayera de le lan cer
dans la console, évidemment cela ne marchera pas.
Je ne suis vraiment pas trop convaincu par cet argument DOS/Windows.
Je pense vraiment que ces exécutables sont lancés quelque soit leur
extension, à partir du moment où il y a, en Base de Registre, "%1" % * dans
la clé shell/open/command associé à leur type.
Si par exemple, tu fusionnes un truc comme
en base de registre, tous les fichiers (même un vulgaire fichier texte ne
commençant pas par "MZ" !) d'extension .exe lanceront la calculette...
Pour montrer que ce PB est connu et ancien le filtrage des pièces
attachées sur un MTA se fait préférentiellement sur la nature du fichier
et non l'extension, exemple l'option par défaut de Renattach:
"Delete executable binary attachments by signature. renattach looks
for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou
Windows du fait de la présence de ce MZ ;)
If an
executable is found, the encoded attachment will be removed while
the MIME header remains unchanged. This is a feature that works
independently of filename-based filtering, designed as a backup. The
net effect is that encoded executables are deleted. Email clients will
see 0-byte attachments."
http://www.pc-tools.net/unix/renattach/renattach-manual-1.5.pdf
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tête MZ
pour détecter un fichier joint exécutable déguisé avec une autre extension
que le système d'exploitation fait pareil :-D
Le Sat, 30 Jan 2010 09:18:21 +0100, Roland Garcia a écrit:
rm a écrit :
Salut, Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia a écrit:
DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re
je viens de voir que dans la quarantaine d avira antivir il s'agit de rkit/kryptic.763904
y a t il un exe spécifique ?
C'est fini les exe spécifiques, du moins pour les infections mod ernes
Il y a même très longtemps et c'est une particularité de Windo ws, une petite expérience peut le démontrer:
Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renomme r successivement calc.pif et calc.scr et vérifier que ça lance dan s les deux cas la calculatrice.
L'explication est simple: Windows ne regarde pas dans ce cas là l'extension mais la nature du fichier. Et comme il voit qu'il commen ce par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE et le lance comme tel.
Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se lancer, non ?
Non.
Malheureusement, je crains que Windows fasse toujours confiance à l a bonne vieille branche HKCR de sa fantastique base de registre :) C'est là dedans que les extensions y sont associées à un type q ui lui même sera associé à une action/commande opérable par le systè me ou une de ses applications.
Oui et non.
Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lanc era pas, sauf si on la rajoute dans la BDR.
Non car Windows regarde quand même si le programme commence par MZ p our différencier un programme Windows d'un programme DOS.
Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas mon vieux F-Prot 2.28 contient bien cette en-tête)
Pour preuve un .pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait toujours que c'est un .exe
Si je renomme mon f-prot.exe en f-prot.pif, FProt ne se lance plus, malg ré son en-tête MZ :) Par contre, si je le renomme en f-prot.scr et le lance bien dans une ntvdm.exe dédiée aux vieux programmes DOS 16 bits
Si tu modifies le MZ de ton calc.scr, Windows essayera quand même d e le lancer mais te dira que ton programme est tout cassé.
Non, il considèrera que c'est un programme DOS et essayera de le lan cer dans la console, évidemment cela ne marchera pas.
Je ne suis vraiment pas trop convaincu par cet argument DOS/Windows. Je pense vraiment que ces exécutables sont lancés quelque soit leur extension, à partir du moment où il y a, en Base de Registre, "%1" % * dans la clé shell/open/command associé à leur type. Si par exemple, tu fusionnes un truc comme
en base de registre, tous les fichiers (même un vulgaire fichier texte ne commençant pas par "MZ" !) d'extension .exe lanceront la calculette...
Pour montrer que ce PB est connu et ancien le filtrage des pièces attachées sur un MTA se fait préférentiellement sur la nature du fichier et non l'extension, exemple l'option par défaut de Renattach:
"Delete executable binary attachments by signature. renattach looks for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
If an executable is found, the encoded attachment will be removed while the MIME header remains unchanged. This is a feature that works independently of filename-based filtering, designed as a backup. The net effect is that encoded executables are deleted. Email clients will see 0-byte attachments." http://www.pc-tools.net/unix/renattach/renattach-manual-1.5.pdf
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tête MZ pour détecter un fichier joint exécutable déguisé avec une autre extension que le système d'exploitation fait pareil :-D
@+ -- rm - http://opera-fr.com
Cyrius
On Thu, 04 Feb 2010 17:19:17 +0100, rm wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
AMHA -> non.
On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon@opera-fr.invalide>
wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
pour detecter un fichier joint executable deguise avec une autre
extension que le systeme d'exploitation fait pareil :-D
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
AMHA -> non.
rm
Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :
On Thu, 04 Feb 2010 17:19:17 +0100, rm wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu par les « explications » de Roland ;)
AMHA -> non.
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
@+ -- rm - http://opera-fr.com
Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :
On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon@opera-fr.invalide>
wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
pour detecter un fichier joint executable deguise avec une autre
extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se
targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu
par les « explications » de Roland ;)
AMHA -> non.
Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu par les « explications » de Roland ;)
AMHA -> non.
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
@+ -- rm - http://opera-fr.com
Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :
On Thu, 04 Feb 2010 17:19:17 +0100, rm wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu par les « explications » de Roland ;)
Radiomachin peut éventuellement compléter, je ne me vexerai pas ;-)
-- Roland Garcia
rm a écrit :
Le jeudi 4 février 2010 à 18:05, Cyrius a écrit :
On Thu, 04 Feb 2010 17:19:17 +0100, rm <ramon@opera-fr.invalide>
wrote:
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ
pour detecter un fichier joint executable deguise avec une autre
extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se
targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu
par les « explications » de Roland ;)
Radiomachin peut éventuellement compléter, je ne me vexerai pas ;-)
C'est pas parce qu'un anti-machin se sert judicieusement de l'en-tete MZ pour detecter un fichier joint executable deguise avec une autre extension que le systeme d'exploitation fait pareil :-D
Tu es sûr d'avoir tout compris toi ?
Non, j'aime bien douter de ce que je lis et personne ne peut, j'espère, se targuer de TOUT comprendre. Je suis par contre sûr de ne pas être convaincu par les « explications » de Roland ;)
Radiomachin peut éventuellement compléter, je ne me vexerai pas ;-)
-- Roland Garcia
Roland Garcia
rm a écrit :
Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas mon vieux F-Prot 2.28 contient bien cette en-tête)
Exact, mais Windows sait qu'il s'agit encore d'un programme DOS car un peu plus loin il n'y a pas la chaine PE indiquant qu'il s'agit alors d'un Portable Exécutable et donc d'un Windows dernier cri.
Tout ça résulte d'un pataquès de compatibilité dû au passage DOS à Windows.
"Delete executable binary attachments by signature. renattach looks for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
-- Roland Garcia
rm a écrit :
Il me semble que les exécutables DOS commencent aussi par MZ (en tout
cas mon vieux F-Prot 2.28 contient bien cette en-tête)
Exact, mais Windows sait qu'il s'agit encore d'un programme DOS car un
peu plus loin il n'y a pas la chaine PE indiquant qu'il s'agit alors
d'un Portable Exécutable et donc d'un Windows dernier cri.
Tout ça résulte d'un pataquès de compatibilité dû au passage DOS à
Windows.
"Delete executable binary attachments by signature. renattach looks
for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou
Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la
console se lance et se ferme aussitôt.
Il me semble que les exécutables DOS commencent aussi par MZ (en tout cas mon vieux F-Prot 2.28 contient bien cette en-tête)
Exact, mais Windows sait qu'il s'agit encore d'un programme DOS car un peu plus loin il n'y a pas la chaine PE indiquant qu'il s'agit alors d'un Portable Exécutable et donc d'un Windows dernier cri.
Tout ça résulte d'un pataquès de compatibilité dû au passage DOS à Windows.
"Delete executable binary attachments by signature. renattach looks for encoded bytes that identify DOS/Windows executables ('MZ').
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
-- Roland Garcia
bsch
Roland Garcia nous a raconté (news:) :
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
-- Amicalement
Bernard
Roland Garcia nous a raconté (news:4B6B15F5.8000109@wanadoo.fr) :
Il n'y a donc pas de différentiation faite entre un programme DOS
ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables
Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus,
la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet:
Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech
si je me souviens bien) ? Reconnues ou pas par w ?
(bon, j'ai qu'à essayer, je sais ...)
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
-- Amicalement
Bernard
Roland Garcia
bsch a écrit :
Roland Garcia nous a raconté (news:) :
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Les tares étant restées renommer Notepad.exe en Notepad.com ne change rien à son fonctionnement, mais comme Windows croit a priori qu'il s'agit d'un programme DOS il lui remet une icône standard.
-- Roland Garcia
bsch a écrit :
Roland Garcia nous a raconté (news:4B6B15F5.8000109@wanadoo.fr) :
Il n'y a donc pas de différentiation faite entre un programme DOS
ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables
Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus,
la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet:
Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech
si je me souviens bien) ? Reconnues ou pas par w ?
(bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Pour en revenir au pataquès des extensions, le PB a commencé dès le
passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ
sont apparus.
Command.com n'avait une extension .COM que pour des raisons de
compatibilité alors que c'était en réalité un EXE.
Les tares étant restées renommer Notepad.exe en Notepad.com ne change
rien à son fonctionnement, mais comme Windows croit a priori qu'il
s'agit d'un programme DOS il lui remet une icône standard.
Il n'y a donc pas de différentiation faite entre un programme DOS ou Windows du fait de la présence de ce MZ ;)
En jetant tous les MZ on est sûr de jeter tous les exécutables Windows.
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
'tite question un peu dans le sujet: Qu'en est-il des rares signatures ZM (spécificité des compilos Zortech si je me souviens bien) ? Reconnues ou pas par w ? (bon, j'ai qu'à essayer, je sais ...)
J'ai essayé c'est pareil.
Pour en revenir au pataquès des extensions, le PB a commencé dès le passage des .COM aux .EXE, je crois (de mémoire) que c'est là que les MZ sont apparus.
Command.com n'avait une extension .COM que pour des raisons de compatibilité alors que c'était en réalité un EXE.
Les tares étant restées renommer Notepad.exe en Notepad.com ne change rien à son fonctionnement, mais comme Windows croit a priori qu'il s'agit d'un programme DOS il lui remet une icône standard.
-- Roland Garcia
rm
Le jeudi 4 février 2010 à 19:46, Roland Garcia a écrit :
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
Je conçois tout à fait que Windows reluque dans l'exe pour savoir à quel type d'exécutable il aura affaire mais, auparavant, il aura effectué quelques centaines de requêtes dans sa Base de Registre préférée pour savoir quoi faire de ce fichier de type « exefile » (donc en se basant tout bêtement sur l'extension), avant de seulement commencer à faire un OPEN sur notepad.exe puis ensuite essayer de le confier à ntvdm.exe puisqu'il trouve qu'avec « RG » en en-tête, il a un air vieillot <:o) Le séquencement est facilement observable avec le Process Monitor de Russinovitch, par exemple ;) Aussi ton « Windows ne regarde pas dans ce cas là l'extension mais la nature du fichier. » m'a paru un poil raccourcir le fait que sans une gestion préalable du type de fichier, donc de son extension, Windows n'essayerait même pas de regarder ce qu'il y a dedans (contrairement aux Unix, je crois...) Dans ton premier exemple, le calc.pif (calc.exe renommé) ne s'exécute pas prioritairement parce qu'il y a « MZ » dedans, mais parce que les fichiers de type « piffile » peuvent être lancés/exécutés par le shell (explorer.exe, par défaut) via le "%1" %* en BdR. Si, à la place de cette chaine de caractère, tu inscris autre chose, par exemple : [HKEY_CLASSES_ROOTpiffileshellopencommand] @="iexplore "http://www.mozilla.org"" le lancement de ton calc.pif, tout PE qu'il soit, provoquera seulement l'exécution... d'Internet Explorer :)
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
@+ -- rm
Le jeudi 4 février 2010 à 19:46, Roland Garcia a écrit :
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la
console se lance et se ferme aussitôt.
Je conçois tout à fait que Windows reluque dans l'exe pour savoir à quel
type d'exécutable il aura affaire mais, auparavant, il aura effectué
quelques centaines de requêtes dans sa Base de Registre préférée pour
savoir quoi faire de ce fichier de type « exefile » (donc en se basant tout
bêtement sur l'extension), avant de seulement commencer à faire un OPEN sur
notepad.exe puis ensuite essayer de le confier à ntvdm.exe puisqu'il trouve
qu'avec « RG » en en-tête, il a un air vieillot <:o)
Le séquencement est facilement observable avec le Process Monitor de
Russinovitch, par exemple ;)
Aussi ton « Windows ne regarde pas dans ce cas là l'extension mais la
nature du fichier. » m'a paru un poil raccourcir le fait que sans une
gestion préalable du type de fichier, donc de son extension, Windows
n'essayerait même pas de regarder ce qu'il y a dedans (contrairement aux
Unix, je crois...)
Dans ton premier exemple, le calc.pif (calc.exe renommé) ne s'exécute pas
prioritairement parce qu'il y a « MZ » dedans, mais parce que les fichiers
de type « piffile » peuvent être lancés/exécutés par le shell
(explorer.exe, par défaut) via le "%1" %* en BdR.
Si, à la place de cette chaine de caractère, tu inscris autre chose, par
exemple :
[HKEY_CLASSES_ROOTpiffileshellopencommand]
@="iexplore "http://www.mozilla.org""
le lancement de ton calc.pif, tout PE qu'il soit, provoquera seulement
l'exécution... d'Internet Explorer :)
Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?
Le jeudi 4 février 2010 à 19:46, Roland Garcia a écrit :
Change MZ par RG dans notepad.exe et vérifie qu'il ne marche plus, la console se lance et se ferme aussitôt.
Je conçois tout à fait que Windows reluque dans l'exe pour savoir à quel type d'exécutable il aura affaire mais, auparavant, il aura effectué quelques centaines de requêtes dans sa Base de Registre préférée pour savoir quoi faire de ce fichier de type « exefile » (donc en se basant tout bêtement sur l'extension), avant de seulement commencer à faire un OPEN sur notepad.exe puis ensuite essayer de le confier à ntvdm.exe puisqu'il trouve qu'avec « RG » en en-tête, il a un air vieillot <:o) Le séquencement est facilement observable avec le Process Monitor de Russinovitch, par exemple ;) Aussi ton « Windows ne regarde pas dans ce cas là l'extension mais la nature du fichier. » m'a paru un poil raccourcir le fait que sans une gestion préalable du type de fichier, donc de son extension, Windows n'essayerait même pas de regarder ce qu'il y a dedans (contrairement aux Unix, je crois...) Dans ton premier exemple, le calc.pif (calc.exe renommé) ne s'exécute pas prioritairement parce qu'il y a « MZ » dedans, mais parce que les fichiers de type « piffile » peuvent être lancés/exécutés par le shell (explorer.exe, par défaut) via le "%1" %* en BdR. Si, à la place de cette chaine de caractère, tu inscris autre chose, par exemple : [HKEY_CLASSES_ROOTpiffileshellopencommand] @="iexplore "http://www.mozilla.org"" le lancement de ton calc.pif, tout PE qu'il soit, provoquera seulement l'exécution... d'Internet Explorer :)
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
@+ -- rm
Cyrius
On Thu, 4 Feb 2010 18:36:20 +0100, rm wrote:
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
A+
On Thu, 4 Feb 2010 18:36:20 +0100, rm <ramon@opera-fr.invalid> wrote:
Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le
en calc.txt.pif et jette un oeil dans l'explorateur windows :)
Le fichier apparait comme calc.txt
Lance le fichier via le double clic, il exécute la calculatrice... tu
auras beau décocher la case "masquer les extensions de fichiers dont
le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
Bâh, si tu fais les questions et les réponses, personne ne risque de comprendre.
Copie calc.exe dans un autre répertoire que system32, renomme-le en calc.txt.pif et jette un oeil dans l'explorateur windows :) Le fichier apparait comme calc.txt Lance le fichier via le double clic, il exécute la calculatrice... tu auras beau décocher la case "masquer les extensions de fichiers dont le type est connu" il apparaitra toujours comme calc.txt
Remplace virus.exe par virus.txt.pif et amuse-toi.
A+
Roland Garcia
rm a écrit :
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."
Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also
changed so that the worm runs before any other executable file is
opened."
Il y a même dû avoir quelques virus, profitant de cela, pour transformer [HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" en [HKEY_CLASSES_ROOTexefileshellopencommand] @="virus.exe "%1" %*" non ?
Depuis 2001: "The registry key HKCRexefileshellopencommand is also changed so that the worm runs before any other executable file is opened."