Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

28-05-05 11:49
Forenzika virusne infekcije

piše TOMO SOMBOLAC, QUBIS

Novi virusi svakodnevno se šire Internetom. Obrana ovisi o brzini otkrivanja i prijavljivanju novih virusa. Da bi tvrtke koje se bave zaštitom što brže i djelotvornije odradile svoj dio posla, poželjno im je poslati što više korisnih informacija o zaraženom računalu.

Naravno, korisnik sam odlučuje hoće li, i koje, podatke proslijediti. Iskustvo kaže da se s više informacija brže dolazi do rješenja. Datoteke s popisa koji slijedi pomažu pri otkrivanju problema, ali Qubisov odjel tehničke podrške možda će zatražiti dopunu, ako iz priloženih podataka nije moguće do kraja otkriti uzrok problema.

Za sakupljanje datoteka koristite privremeni direktorij, a najjednostavnije je napraviti novi (npr.: "c:\tmp\ZaQubis"), kako biste ga na kraju jednostavno cijeloga komprimirali i poslali.

 

--------------------------------------------------

PRIPREMA DATOTEKA

--------------------------------------------------

(-) EVENT LOG - Sve event baze (u EVT i TXT obliku)

- Pokrenite Event Viewer
(Start --> Run --> EVENTVWR.EXE


- kliknite na jednu po jednu EventLog bazu / view

 

- Action --> Save log file as ... --> Save as type: "Event log (*.evt)"


- spremite u datoteku %tmp%\event-<nazivbaze>.evt

(npr. event-application.evt, event-system.evt, ...)

 

- Action --> Save log file as ... --> Save as type: "Text (tab delimited) (*.txt)"

- spremite u datoteku %tmp%\event-<nazivbaze>.txt

(npr. event-application.txt, event-system.txt, ...)

 

(-) SYSTEM INFO (u NFO i TXT obliku)

 

- Pokrenite System Information

(Start --> Run --> MSInfo32.EXE)

 

- File --> Save


- spremite u datoteku %tmp%\sysinfo.nfo


- File --> Export --> Save as type: "Text file"


- spremite u datoteku %tmp%\sysinfo.txt

 

(-) REGISTRY (u REG i TXT obliku)

- pokrenite Regedit

(Start --> Run --> REGEDIT.EXE)


- postavite se na granu HKLM \ Software \ Sophos

- File --> Export


- spremite u datoteku %tmp%\hklmss.reg

- File --> Export --> Save as type: "Text files (*.txt)"


- spremite u datoteku %tmp%\hklmss.txt

 

 

 

--------------------------------------------------

(2) SLANJE PRIKUPLJENIH DATOTEKA

--------------------------------------------------

 

Nekim programom za komprimiranje napravite ZIP / RAR / ARJ datoteku i u nju stavite prikupljene datoteke (ako ste stvorili novi direktorij samo za ovu priliku, komprimirajte cijeli direktorij):

 

(-) %tmp%\event-*.*

 

(-) %tmp%\sysinfo.*

 

(-) %tmp%\hklmss*.*

 

(-) "%WinDir%\SOPHOS.TXT"

(ako ste od podrške primili datoteku GETSTART.TXT)

 

(-) sve datoteke *.LOG, *.CFG, *.REP, *.CONF, *.XML, *MANIFEST* iz direktorija "%ProgramFiles%\Sophos\" i ispod

Primjer za jednostavno prikupljanje navedenih datoteka besplatnim i slobodnim programom Info-ZIP

(http://www.info-zip.org/pub/infozip):

zip -v9Sr %tmp%\ZaQubis "%ProgramFiles%\Sophos" -i *.cfg *.log *.rep *.xml *.conf *manifest*

 

(-) sve datoteke *.LOG, *.CFG, *.REP, *.CONF, *.XML, *MANIFEST* iz direktorija "%ProgramFiles%\Sophos Sweep for NT\" i ispod

Primjer za Info-ZIP:

zip -v9Sr %tmp%\ZaQubis "%ProgramFiles%\Sophos Sweep for NT" -i *.cfg *.log *.rep *.xml *.conf *manifest*

 

(-) sve datoteke iz direktorija "%ProgramFiles%\Microsoft SQL Server\MSSQL$SOPHOS\LOG\*.*"

(samo ako podatke uzimate s računala na kojemu je instaliran program "Sophos Control Center")


Primjer za Info-ZIP:


zip -v9Sr %tmp%\ZaQubis "%ProgramFiles%\Microsoft SQL Server\MSSQL$SOPHOS\LOG\*.*"

 

(-) sve datoteke iz direktorija "%AllUsersProfile%\Application Data\Sophos\config\*.*"


Primjer za Info-ZIP:


zip -v9Sr %tmp%\ZaQubis "%AllUsersProfile%\Application Data\sophos\config\*.*"

 

(-) sve datoteke iz direktorija "%AllUsersProfile%\Application Data\Sophos\logs\*.*"


Primjer za Info-ZIP:


zip -v9Sr %tmp%\ZaQubis "%AllUsersProfile%\Application Data\sophos\logs\*.*"

 

(-) sve datoteke iz direktorija "%UserProfile%\Application Data\Sophos\Sophos Anti-Virus\Config\*.*" i ispod


Primjer za Info-ZIP:


zip -v9Sr %tmp%\ZaQubis "%UserProfile%\Application Data\Sophos\Sophos Anti-Virus\Config\*.*"

 

(-) sve datoteke iz direktorija "%UserProfile%\Application Data\Sophos\Sophos Anti-Virus\Logs\*.*" i ispod


Primjer za Info-ZIP:


zip -v9Sr %tmp%\ZaQubis "%UserProfile%\Application Data\Sophos\Sophos Anti-Virus\Logs\*.*"

 

(-) sve datoteke "%WinTEMP%\Sophos*.LOG"

 

(-) sve datoteke "%WinTEMP%\Sophos*.TXT"

 

(-) mislite li da bi još neki dodatni zapis pomogao u rješavanju problema, slobodno ga dodajte u ovaj popis

 

Komprimiranu datoteku ("%TMP%\ZaQubis.ZIP") pošaljite na adresu "sav@srce.hr", ako je moguće sa subjektom "QSysInfoSAV5Sys".

(mailto: sav@srce.hr?subject=QSysInfoSAV5Sys)

 

Objašnjenje:

 

HKLM ................ HKEY_Local_Machine


HKCU ................ HKEY_Current_User


%TMP% ............... Predstavlja privremeni ('temporary') direktorij koji ste odabrali za prikupljanje ovih datoteka (npr. "c:\tmp\zaqubis")


%WinTEMP% ........... predstavlja uobičajeni 'temporary' direktorij korisnika koji instalira Sophos (najčešće "C:\Documents and Settings\Administrator\Local Settings\Temp\")


%ProgramFiles% ...... Predstavlja direktorij u kojem su instalirane aplikacije (najčešće "C:\Program Files")


%WinDir% ............ Predstavlja direktorij u kojem su instalirani Windowsi (najčešće "C:\Windows" ili "C:\WinNT")


%AllUsersProfile% ... Predstavlja direktorij s dijeljenim podacima svih korisnika računala (najčešće "C:\Documents and settings\All users")


%UserProfile% ....... Predstavlja direktorij s podacima trenutno prijavljenog korisnika (najčešće "C:\Documents and settings\Administrator")

 

QSYSINFO

v.20050321105001

 

Prema podacima prikupljenima na ovaj način Qubis i Sophos se odnose kao prema poslovnoj tajni.





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr