Vaccination à l’aide d’un éditeur Hexadécimal
Cette méthode est réservée à un public averti et n’est à envisager que sur des supports amovibles dont le système de fichiers est de type FAT ou FAT32. Je vous suggère Tiny Hexer de mirkes si vous n’avez pas d’éditeur hexadécimal. Cette méthode va consister à créer un fichier autorun.inf vierge avec l’Explorateur. Puis ensuite d’en modifier les propriétés directement via l’éditeur hexadécimal, de sorte de le rendre insupprimable et indéplaçable. De la même façon que pour les répertoires vaccins, la présence de ce fichier empêchera toute infection d’écraser celui-ci par son autorun de propagation infectieux. Attention, toute mauvaise manipulation pourrait occasionner la perte des données présentes sur le support amovible, je vous recommande la prudence si vous optez pour cette méthode.
Après avoir créé un fichier vierge nommé autorun.inf à la racine du support amovible, ouvrez simplement le support USB (File > Disk > Open drive…) via l’éditeur et recherchez la chaîne 41 55 54 4F 52 55 4E 20 49 4E 46 correspondant en hexadécimal à la chaîne autorun.inf. Lorsque vous l’aurez trouvée, portez votre attention sur la valeur qui suit directement (par défaut 00), et éditez-la de sorte de la porter à 42.
La valeur ainsi attribuée (42) détermine un attribut caché au fichier, et ce dernier ne peut pas être ouvert, lu, ni supprimé. Il n’est pas interprété par Windows. Votre support est ainsi, facilement, vacciné. On peut étendre là aussi, comme pour les répertoires vaccins à l’aide des noms réservés Windows, la vaccination à des infections spécifiquement rencontrées. Il vous faudra donc créer les fichiers homonymiques vierges, puis chercher la chaîne en hexadécimale relative aux noms de ces fichiers, de sorte d’en modifier les attributs.
Par la suite, si vous désirez vous débarrasser de ce fichier vierge vaccin, il vous faudra éditer toujours via l’éditeur hexadécimal les propriétés du fichier, de sorte de changer les valeurs à celles normalement définies par défaut (00), ou alors plus simplement de formater le support.
Note : cette méthode reste pertinente tant que vous insérez le support sur des systèmes Windows uniquement. L’insertion du support sur un système de type Linux modifie les attributs de ce fichier, et ce dernier est de nouveau vulnérable à la suppression et l’écrasement dès la ré-insertion du support sur un système de type Windows.
Cette méthode est celle réalisée par l’utilitaire Panda USB Vaccine de l’éditeur Panda. L’utilitaire vous permettra, très simplement et sans éditeur hexadécimal, de vacciner à l’identique les supports amovibles. Petite précision, l’utilitaire ne permet pas d’ôter le vaccin ; le seul moyen sera le formatage ou la modification des attributs du fichier via un éditeur hexadécimal comme expliqué précédemment. Nous reviendrons sur cet utilitaire qui pourrait nous être pratique dans certains cas de figure.
Illustration 42 – Panda USB Vaccine
Dernière mise à jour le 17 mars 2019