Forensic

Hello,

Savez-vous si le PE tourne sous Windows 10 ?
Impossible de le lancer dans ma VM Windows 10, faut-il que je teste sur XP ?

Merci,

(je parle bien après avoir tout recover proprement)

Fonctionne sous XP.

Tu peux le forcer à croire qu’il est sur un Windows poste de travail qu’il connaît en jouant sur ce qu’il fait de la valeur retournée par GetVersionExW (),

Dans le cas de Windows 10, la doc de cette fonction par Microsoft précise :

For applications that have been manifested for Windows 8.1 or Windows 10. Applications not manifested for Windows 8.1 or Windows 10 will return the Windows 8 OS version value (6.2).

Le bot est trop vieux pour reconnaître 6.2. Il reconnaît 5.0, 5.1, 6.0 et 6.1 pour une workstation, et 5.2, 6.0 et 6.1 pour un domain controller ou un server. Tu peux le forcer à croire qu’il est sur une workstation 6.1 en forçant la valeur par laquelle il code ce que lui a retourné GetVersionExW () :

0041C27B MOV DWORD PTR DS :[423C18],EAX

Tu forces EAX à la valeur 6.

Note que ça démontre l’intérêt de mettre à jour un système : ça casse le fonctionnement de malwares pas assez souples pour reconnaître des versions qui n’existent pas encore :)