Premièrement, sachez que je demande à ce que CIS soit dans c:\ simplement parce que j'ai la flème de créer un vrai code malveillant.
Sachant que le code ressemble un peu à celui de mon appli
Comodo Database Updater qui permet de changer la base virale en un redémarrage et qui lui sais gérer des emplacements diffèrents de CIS.
Là, en fait, ce que je veux dire c'est que dans le premier cas
java - jar kill_cis.jar je demande à java.exe de lire et exécuter le jar kill_cis.jar
dans l'autre cas
kill_cis.jar j'exécute directement l'application
La différence réside au fait qu'au final, c'est toujours java.exe qui fera le boulot, mais l'un est directement lancé par java lui même en tant qu'application sûre, l'autre et lance comme un programme à part qui va demander à java.exe de s'exécuter.
Derrière, le code crée un fichier vide cmdagent et une clé PendingFileRenameOperations qui permettra d'intervertir les fichiers aux redémarrage du pc. Autrement dit, après, le vrai cmdagent du dossier Comodo fera 0 octet.
Je ne kill personne directement, cette clé permet de modifier ce que l'on veut durant le démarrage windows avant le lancement des services par exemple. Autrement dit Comodo est inactif lorsque la modification est faite, et suite au changement, windows va lancer les services et cmdagent, ne contenant aucun code, va planter.
Concernant la méthode pour m'introduire, je n'en chercherai pas, comme toujours. Je veux juste démontrer une vulnérabilité qui est d'ailleurs déjà utilisée pour passer Comodo sur ce post
https://forums.comod...s-t56246.0.htmloù rst antivirus se lance grâce aux droits de msiexec.exe considérée comme une application sûre.
Suite à ça, on peut tout inventer, il faut juste trouver un moyen de faire en sorte qu'une application sûre fasse le boulot sans créer de nouveau processus ou application. naturellement, cela dépendra aussi de ce que l'on veut faire. Ici je vise l'hips puisque dès qu'il n'est plus présent bien, je n'ai plus de restrictions. Mais ces failles là seront simple à combler.
Comme dit un autre modérateur de Comodo qui résume bien la situation, le soucis c'est qu'en faisant confiance à des applications, on fait aussi confiance à tous les exploits possibles via ces même applications.
Ce message a été modifié par Shaoran - 13 mai 2010 - 14:49 .