Карантин Mcafee, как извлечь файлы
Обновлено: 21.11.2024
После недавнего обновления антивирусного программного обеспечения McAfee оно помечает файл COMSOL как опасный и удаляет его, оставляя COMSOL в неисправном состоянии.
При попытке запустить COMSOL я получаю сообщение об ошибке:
Решение
Чтобы вернуть COMSOL Multiphysics в состояние, в котором его можно будет запускать, необходимо восстановить файлы из карантина McAfee, а затем добавить их в белый список локально на вашем компьютере.
Файлы внесены в белый список McAfee.
Если у вас есть Engine версии 4087.0 (2020-05-28) или более поздней версии, необходимо включить белый список. Однако вам все равно придется восстанавливать их вручную из карантина, если они уже были помещены в карантин. См. инструкции в пункте 1 ниже.
1. Восстановите удаленные файлы из McAfee Quarantine.
См. инструкции в базе знаний McAfee здесь.
Если в карантине нет файлов, для восстановления установки необходимо использовать программу установки COMSOL. Запустите программу установки COMSOL, нажмите «Добавить/удалить продукты и переустановить» и обязательно установите флажок Переустановить выбранные и установленные продукты. Используйте ярлык «Настройка», расположенный в каталоге установки COMSOL Multiphysics. Путь по умолчанию для каталога установки — C:\Program Files\COMSOL\COMSOL55\Multiphysics. Если вы используете функцию OnAccessScan в McAfee, вам потребуется отключить ее во время установки COMSOL, так как в противном случае файлы будут помещены в карантин во время установки.
2. Добавьте все удаленные файлы в локальный белый список.
См. инструкции в базе знаний McAfee здесь
Следующие файлы должны быть внесены в белый список:
где следует заменить каталог установки COMSOL Multiphysics.
И наконец, убедитесь, что вы не запускаете ручное сканирование каталога COMSOL, так как это все равно приведет к удалению файлов из белого списка.
Поиск по категориям
COMSOL прилагает все разумные усилия для проверки информации, которую вы просматриваете на этой странице. Ресурсы и документы предоставляются только для ознакомления, и COMSOL не делает явных или подразумеваемых заявлений об их достоверности. COMSOL не несет никакой юридической ответственности за точность раскрываемых данных. Любые товарные знаки, упомянутые в этом документе, являются собственностью их соответствующих владельцев. Полную информацию о торговой марке см. в руководствах по эксплуатации.
Приходилось ли вам когда-нибудь извлекать файл карантина McAfee? Сегодняшний урок покажет вам, как извлечь файл BUP с помощью punbup в лаборатории. Существует много причин для извлечения файлов из файла карантина McAfee, наиболее распространенной из которых является выполнение более глубокого анализа или восстановление файла, который был неправильно идентифицирован. Сегодня мы будем использовать рабочую станцию SANS SIFT для выполнения этой задачи с помощью сценария punbup.py.
Параметры скрипта
Сценарий имеет несколько действительно полезных опций, которые помогут вам в анализе любого файла BUP. Опция -h или –help напечатает доступные для использования опции.
Возможно, чаще всего вы будете использовать две опции: -d и -c; это позволит вам просмотреть сведения о файле, помещенном в карантин, и вычислить хэш в md5, sha1 или sha256. Файлы карантина McAfee, более известные как файлы «bup», в основном представляют собой контейнер с двумя или более файлами. Первый файл — это файл сведений, это не что иное, как текстовый файл со всей соответствующей информацией о зараженных файлах. Другой файл или файлы будут помечены как «Файл_0» и будут увеличиваться на единицу для каждого зараженного файла; т. е. если бы в карантине было два файла, в файле bup было бы три файла; Детали, File_0 и File_1.
Извлечение файлов
Помещенные в карантин файлы можно легко извлечь с помощью сценария, позволяющего проанализировать их и определить, действительно ли они являются вредоносными. Обычно аналитик получает копию файла карантина и помещает ее в свою машину для анализа. Хорошим рабочим процессом будет следующее: сначала отобразить сведения о файле с параметром -d
Выходные данные будут содержать имя вредоносного ПО/вируса, набор сигнатур, а также дату и время предупреждения антивируса, и, что наиболее важно, они будут содержать путь и имя зараженного файла. Далее давайте получим хэш файла и отправим его в VirusTotal, чтобы посмотреть, какие результаты мы получим:
Теперь мы можем взять md5-хэш File_0 и отправить его в VirusTotal. Конкретный файл, который мы здесь изучаем, покажет 17 обнаружений из 71, и это связано с плохо написанным приложением, которое использует несколько сомнительных утилит. Это было подтверждено статическим и динамическим анализом в лаборатории вредоносных программ. Ради аргументов давайте просто скажем, что он не заражен и является ложным срабатыванием, и теперь нам нужно восстановить его в системе, в которой он был обнаружен.Запуск скрипта без параметров создаст папку и в ней будут Детали и Файл_0; однако гораздо лучше было бы добавить параметр -o, чтобы он переименовал файлы в их исходные имена. Остается только пометить файлы как исключения и вернуть их туда, где они были.
Оставить ответ Отменить ответ
Вы должны войти в систему, чтобы оставить комментарий.
Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются данные ваших комментариев.
Если вы не знакомы с бинарной операцией XOR, таблица истинности приведена ниже:
Обратите внимание, что вывод 1 производится только для нечетного количества единиц на входе.
- Создает текстовый файл метаданных
- Выполняет побитовое XOR над файлом метаданных и двоичным файлом с известным ключом (0x6A)
- Объединяет исходный двоичный файл и текстовый файл метаданных в один файл с использованием формата составного документа Microsoft
- Сохраняет файл (с расширением .BUP) в папке карантина, определенной политикой диспетчера карантина (по умолчанию C:\QUARANTINE\)
Запуск антивируса для создания BUP
Для этой демонстрации мы будем использовать тестовый файл Global Threat Intelligence (GTI, ранее известный как Artemis). Этот тестовый файл похож на тестовый файл антивируса EICAR, но он запускает эвристическое обнаружение для McAfee VirusScan. Вы также можете использовать John the Ripper, Cain, netcat, pwdump или другие распространенные хакерские инструменты для запуска аудио/видеособытия.
Прямая ссылка на тестовый файл:
Если обнаружение при доступе не обнаруживает файл сразу, щелкните правой кнопкой мыши и выполните сканирование, чтобы активировать сканирование по требованию. Мы отключили защиту при доступе, чтобы выполнить хеширование двоичного файла и предоставить его для вашего удобства. Обычно используется SHA1, так как MD5 может конфликтовать, однако для наших целей в этой демонстрации достаточно хэшей MD5.
Теперь, после повторного включения проверки при доступе, у нас есть обнаружение:
Теперь мы проверяем папку карантина, указанную в политике диспетчера карантина, как показано выше, и о чудо! У нас есть файл .BUP:
Если этот файл не сработал, возможно, у вас не включен GTI. Попробуйте сначала включить GTI или использовать другой заведомо безопасный, но обнаруженный двоичный файл для создания файла BUP.
Чтобы извлечь BUP в Windows, я воспользовался полезной статьей Как восстановить помещенный в карантин файл, не указанный в статье McAfee KnowledgeBase в VSE Quarantine Manager.
- 7-zip (используется для распаковки формата составного документа Microsoft)
- Двоичный файл с побитовым исключающим ИЛИ, например: xor.exe
Используйте 7-Zip, чтобы извлечь файл, щелкнув его правой кнопкой мыши, выбрав 7-Zip, а затем «Извлечь сюда».
Теперь используйте двоичный файл xor.exe для выполнения побитового XOR с ключом (0x6A), чтобы получить два новых файла. Не стесняйтесь использовать следующий синтаксис в командной строке:
- Название обнаружения аудио/видео. Полезно для получения дополнительной информации об обнаружении.
- Основные и дополнительные версии движка аудио/видео. Может использоваться для устранения неполадок, почему одни хосты обнаруживают, а другие пропускают.
- Основные и дополнительные версии файлов A/V DAT. Можно использовать для устранения неполадок, почему одни хосты обнаруживают, а другие пропускают
- Когда файл был захвачен (поля создания). Помогает создать временную шкалу, если она обнаружена сканированием при доступе.
- Часовой пояс хоста – полезно для временной шкалы.
- Исходное имя файла. Часто содержит много информации о двоичном файле.
Теперь, когда у вас есть исходный файл, вы можете восстановить его, отменить или сделать все, что душе угодно.
Но сначала давайте удостоверимся, что хэш исходного файла совпадает с хэшем перед деактивацией. Для полноты картины мы также предоставим хеш для Details.txt.
Мы только что подробно описали процесс восстановления двоичного файла из BUP в Windows. Вы можете выполнить этот же процесс в Linux, если у вас есть 7zip и Wine (используется для запуска двоичного файла xor.exe). Однако целью этого инструмента была автоматизация процесса, добавление некоторых функций и удаление зависимости от Wine.
Инструмент распаковки
Первое, что вы должны знать о UnBup, — это меню использования:
- Без вариантов – выводит подробные сведения.txt и исходный двоичный файл
- - опция d — выдает только файл Details.txt (без двоичного файла)
- Опция - s — выдает файл Details.txt и двоичный файл с расширением .ex для предотвращения случайного запуска.
Демонстрация: без вариантов
При предоставлении UnBup без опций и только файла BUP создается файл details.txt и двоичный файл. Обратите внимание, что хеши MD5 такие же, как и в разделе Windows.
Демонстрация: параметр -d
Опция -d полезна для тех, кто не хочет реверсировать или копаться в двоичном файле, но хочет получить немного больше информации об обнаружении.
Демонстрация: опция -s
Опция -s не является надежной мерой для предотвращения запуска двоичного файла, однако она может помочь предотвратить случайное выполнение. В этом случае, поскольку мы извлекаем вредоносное ПО для Windows в среде Linux, это добавляет еще один уровень защиты, так как сложнее (если вообще возможно) заразить другую операционную систему.
Как это работает (упрощенно)
Если вы посмотрите на приведенный ниже код bash и подумаете: «Это, должно быть, бэкдор, я ни за что не запущу его на своем компьютере…», то приведенный ниже снимок экрана адресован вам.
- xxd для преобразования двоичного файла в шестнадцатеричный
- Выполнение XOR
- Преобразование десятичного результата в шестнадцатеричный
- Преобразование шестнадцатеричного формата в ASCII – это отображение удобочитаемого вывода (не выполненного в скрипте)
Сценарий оболочки — (МЕДЛЕННО — вы можете использовать приведенный ниже код Perl)
Наш Perl-скрипт (НАМНОГО БЫСТРЕЕ — возможно, вы захотите использовать его поверх скрипта оболочки)
При обработке небольших файлов, таких как тестовый файл Artemis, сценарии оболочки bash работали просто отлично. Однако при обработке больших исполняемых файлов процесс XOR занимал слишком много времени. Мы искали в Интернете простой Perl-скрипт XOR, но не нашли ничего подходящего, поэтому написали свой собственный.
xor.pl Использование:
После написания скрипта XOR на Perl мы преобразовали скрипт Bash в Perl, чтобы ускорить процесс.
Мы предоставили два разных метода извлечения инструмента McAfee Bup в Linux. Возможно, это не самое изящное решение, но оно работает, и его взлом не занял много времени. Однако мы ищем варианты, которые были бы полезны другим. Если у вас есть какие-либо варианты, не стесняйтесь указывать, что вы считаете полезным.
Антивирусное программное обеспечение McAfee включает функцию карантина. Если при сканировании обнаруживается файл, который кажется зараженным вирусом, вредоносным ПО или электронным письмом, похожим на спам, эта функция изолирует его. Затем вы можете выбрать, как управлять файлом, но пока вы этого не сделаете, он не может нанести вред вашей системе, поскольку он огорожен в безопасной зоне. Это защищает сеть, особенно если у вас много входящих сообщений электронной почты и несколько пользователей загружают файлы.
Обзор
Ни один антивирусный пакет не обеспечивает 100-процентную точность. Системы не могут идентифицировать каждый файл как заслуживающий доверия или не заслуживающий доверия; они часто просто отмечают возможные проблемы. Они могут довольно хорошо находить эти проблемы, но создатели нежелательного контента также неплохо умеют их скрывать. Вирусы и вредоносные программы часто используют имена файлов, которые напоминают доверенные системные компоненты, но удаление сообщения электронной почты, которое выглядит подозрительно, может быть неудобным, а удаление основного компонента программы может полностью отключить программу. Чтобы избежать этих проблем, карантин изолирует подозрительные файлы для защиты вашей системы, пока вы не решите, можно ли им доверять или нет.
Как работает карантин
Файл, помещенный в карантин, не удаляется, а это значит, что при необходимости вы сможете позже восстановить резервную версию. Вместо этого файл изолирован в специальной области на вашем компьютере или в сети, которая управляется вашим антивирусным программным обеспечением. Он зашифрован в этом безопасном месте, чтобы гарантировать, что он не может причинить вред или заразить другие области вашей системы. Затем вы или ваш системный администратор можете решить, безопасно это или нет, и предпринять соответствующие действия.
Функции карантина McAfee
Существуют различные способы работы с файлом, помещенным в карантин, в McAfee. Если вы знаете, что это подозрительно, вы можете удалить его и навсегда удалить из своей системы.Если вы считаете, что антивирусная программа допустила ошибку и файл заслуживает доверия, вы можете восстановить его и вывести из карантина. В некоторых случаях вам может быть предложено очистить файл перед восстановлением. Если вы не уверены в файле, вы можете отправить его в McAfee Labs для оценки.
Настройка функций карантина
Вы можете обнаружить, что средства управления карантином McAfee нуждаются в настройке, когда вы начнете использовать программное обеспечение. Например, он может быть слишком чувствительным и по ошибке помещать в карантин важные электронные письма и файлы или не блокировать потенциально опасные элементы. Для решения этих проблем системный администратор может создавать белые и черные списки в сети, а пользователи также могут создавать свои собственные списки.
Читайте также: