В случае расследования каких-либо компьютерных инцидентов периодически возникает необходимость вытащить файлы из карантина антивируса. Всё не так страшно, если есть непосредственный доступ к операционной системе и есть, соответственно, пароль от антивируса, если последний защищён.
Ну а что делать, если у нас имеется только образ жёсткого диска? Как в этом случае можно вытащить экземпляр вирусни и получить сигнатуру, с которой он улетел.
На помощь нам приходит замечательный скрипт DeXRAY.pl от Hexacorn. Но есть одно “но” – этот супер-мега-прокси скрипт фурычит под Perl, а это заставит нас ещё его завести… Чтож, попробуем.
Ставим Perl
Perl под Windows есть несколько вариантов, мне под руку попался ActivePerl, возьмём его. Но при желании можно запустить скрипт на любом другом движке, даже на Linux-дистрибутиве.
Качаем инсаллятор, ставим в лучших традициях Windows.
Туда же в каталог с Перлом качаем скрипт DeXRAY.pl, ссылка есть выше. Пробуем запустить:
perl DeXRAY.pl dir
Получаем ошибку о “Crypt/RC4.pm” – надо качать соответствующий модуль и класть в соответствующий каталог в lib. Например вот указанный модуль нужно положить в Perl64\lib\Crypt\RC4.pm. Таких ошибок у меня была масса. Кстати, нехватку Crypt\Blowfish я так и не поборол. Поэтому пришлось просто закомментировать строчку.
Судя по коду, функции Blowfish используются для разбора Symantec, мне не было необходимо.
Забираем Карантин
В общем виде ищем каталоги QB (Kaspersky), Quarantine (ESET, Windows Defender)…
Копируем все каталоги в одно место и скармливаем этот каталог на вход DeXRAY.
Выглядит это как-то так:
Интерпретация результатов
Сами тела вредоносного ПО получают расширение .out и лежит в том же каталоге. Если нужно получить – EXE – просто переименовать.
А описание придётся искать в том же каталоге в других файлов меньшего размера. Вот, в частности, для ESET информация из NDF-файла с тем же именем, что и вредонос. Здесь мы видим исходный пут файла [1] – “C:\Users\…\AppData\Local\n.a”… Дата обнаружения – выделил [2] – в Data Interpreter есть инфо о сконвертированной дате [4]. Ниже под [3] – сигнатура, по которой была сработка. Win32/NetTool.Nbtscan.A.
Для Windows Defender – немного иначе.
Сами тела вредоносов (а точнее дампы памяти) падают в ResourceData (они декодируются DeXRAY в MDMP-файл), а описания – в каталог Entries – в соответствующие OUT-файлы:
Декодирована дата обнаружения, сигнатура – HackTool:Win32/Mimikatz.E, а также исходный путь.
Comments: