McAfee Labs への提出のために、 ENSLTP によって隔離されたファイルをシステムから抽出するには、次の手順を実行します。
- 隔離されたファイルの名前( ENSLTP によって自動的に名前が変更される)、検出のタイムスタンプ、元のファイル名とパスを確認します。 例 : # /opt/isec/ens/threatprevention/bin/isecav -listquarantineitems --verbose
Quarantine Folder - /Quarantine/
File Path : /root/sample
Detection Name : Eicar test file
Permission : -rw-r--r--
Owner : o \ o
Quarantine time : 30/10/16 03:31:30 UTC
Alias : Q0.0.250885.000.meta In this example:
- 隔離されたファイルの名前は Q0.0.250885.000.meta
- タイムスタンプは 30/10/16 03:31:30 UTC
- 元のファイル名とパスが /root/sample
- 隔離された元のファイルと作成される新しい .zip ファイルの除外を追加します。 前の例では、 /root/sample* を除外リストに追加するだけで十分です。 除外を追加する手順については、「Endpoint Security for Linux 脅威対策 10.2.0 製品ガイド」の「ファイルまたはディレクトリをスキャンから除外する」を参照してください。 (PD26513). たとえば、次のコマンドを使用してをローカルに除外を作成する: #/opt/isec/ens/threatprevention/bin/isecav setoasprofileconfig-プロファイル標準 addexclusionrw--excludepaths /root/sample*
- 除外対象は、システムに反映されますを確認します。 渡された除外値はローカルファイルに保存され、次のコマンドを使用してチェックすることができます。 前の例を使用した出力 : # /opt/isec/ens/threatprevention/bin/isecav -getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /root/sample* Not Applicable readandwrite
- 次のコマンドを使用して、隔離されたファイルを元のパスに復元します。 # /opt/isec/ens/threatprevention/bin/isecav --restorequarantineitems -detectionalias Output using the previous example: # /opt/isec/ens/threatprevention/bin/isecav --restorequarantineitems --detectionalias Q0.0.250885.000.meta
Restore quarantine by detection alias was successfully done.
- 送信に感染したパスワードで必要な .zip ファイルを作成します。 パスワードが必ず 感染 します。 前の例を使用した出力 : # cd /root/
# zip -e sample.zip sample
Enter password:
Verify password:
updating: sample (stored 0%)
- .zip ファイルを McAfee Labs に送信するには、次を参照して下さい。KB68030.
- 元のファイルと.zip ファイルを削除し、除外ルールを削除します。 前の例では、ためには、次のコマンドを使用して、除外ルールをローカルに追加を削除します。 -index オプションの指定値は、上記のステップ 3 にリストされているインデックス値である必要があります。
# /opt/isec/ens/threatprevention/bin/isec --setoasprofileconfig --profile standard --delexclusion -index 1注 :提出が偽陽性の場合、 DAT に更新された署名がある場合は、これらのクリーンアップ手順を実行します。 サブミッションが偽陰性の場合、既存の DAT が検出しないため、これらのクリーンアップ手順をすぐに実行できます。