[..] Automatisation d'analyse Malwarebytes [clé USB]

[TLK]

Bonjour tous!

Je suis en train de créer un prototype de PC de désinfection. L'idée est de lancer un scan antivirus et malwarebytes dès qu'une clé USB est entrée dans le PC (le tout tourne dans une sandbox).

Grâce à USBVirusScan, un logiciel qui détecte l'insertion d'une clé USB, je peux lancer une analyse de l'antivirus sur un lecteur dont la lettre est récupérée par le logiciel.

Mais MBAM ne peut pas prendre de lecteur en paramètre comme l'antivirus, du coup je chercher un script autoit, si ça peut se réaliser, qui pourrait ordonner à MBAM de scanner la clé entrante.

Le script peut être lancé dès qu'une clé est entrée grâce à USBVirusScan, donc pas besoin (a priori) d'une fonction de détection.

Je ne sais pas si je suis assez clair? Sinon just ask!

Merci d'avance!

[jguinch]

Une solution simple pourrait être de configurer Malwarebytes pour exclure tous les lecteurs sauf la clé USB (il y a un onglet Exclusions).
Mais le problème est que la clé USB peut changer de lettre : pour ça, il est possible de fixer une ou plusieurs lettres pour les lecteurs USB avec USBDLM.

Bon là, on sort du cadre AutoIt...

[Tlem]

Puisque vous connaissez la lettre de lecteur de la clé USB, le plus simple sera d'utiliser ceci :

-full: initiates a full scan using saved drives in the registry.

Je pense que le mieux sera de lire et mémoriser les valeurs de cette clé de base de registre : HKEY_CURRENT_USER\Software\Malwarebytes' Anti-Malware puis de remplacer ces valeurs par les options que vous voulez utiliser afin de lancer MBAM uniquement sur la clé USB.
Une fois le scan terminé, on remet les valeurs d'origine.

Pour le scan rapide du lecteur G: je modifie les options comme ceci :

Code : Tout sélectionner

[HKEY_CURRENT_USER\Software\Malwarebytes' Anti-Malware]
"alwaysscanfiles"=dword:00000001
"alwaysscanheuristics"=dword:00000001
"alwaysscanmemory"=dword:00000000
"alwaysscanregistry"=dword:00000000
"alwaysscanstartups"=dword:00000000
"autosavelog"=dword:00000001
"openlog"=dword:00000001
"defaultscan"=dword:00000001
"selectedrives"="G:\\|"

Le scan de la mémoire, de la base de registre et des fichiers de démarrage est désactivé. Ce qui fait gagner pas mal de temps.

[jguinch]

Ah oui, là c'est vraiment top... Mais t'es allé les chercher où les valeurs de registre ?

[mikell]

Bien vu... comme la sélection directe des lecteurs n'existe pas comme argument de ligne de commande, je ne pensais pas que c'était possible

[Tlem]

Mais t'es allé les chercher où les valeurs de registre ?

Bin, comme il est indiqué dans la doc :

-full: initiates a full scan using saved drives in the registry.

Donc puisqu'il est dit que c'est dans la base de registre, généralement pour tous les softs c'est soit dans HKEY_LOCAL_MACHINE\Software\Nom De L'Application ou HKEY_CURRENT_USER\Software\Nom De L'Application, après le reste c'est de la lecture, de la déduction et un peux de tests.

[lesolutionneur]

Ne pas oublier que Regshot (version portable) est souvent très utile pour savoir quelles clés ont été modifiées entre deux analyses.