mainframe - 大型机潜在恶意文件取证调查
问题描述
我收到了一个从大型机下载的文件,用户认为它是恶意的。我们有一个专为取证设计的单独的 Windows 10 环境。管理员使用 filezilla 连接到大型机并将文件下载到取证 Windows 环境中。
在没有互联网(离线)的情况下查看文件后,我找到了该文件并转到了属性。该文件显示为“报告文件”。我试图用记事本和写字板打开文件,两次尝试都只显示了一组未格式化的符号。如果我对大型机的理解是正确的,则使用 EBDCIC(扩展二进制编码的十进制交换码)存储数据
我想扫描文档以找出是否有任何隐藏的脚本或宏,然后想打开文档并找出写入的内容。
感谢您的帮助。
解决方案
您需要有关原始大型机文件的更多信息 - 它应该是文本文件还是数据/程序文件?如果是文本,则只需将其从大型机 FTP 以文本形式传输到 PC - FTP 程序应该进行必要的转换。
大型机文件不能有隐藏的脚本或宏。
是什么让您认为它是恶意的?为什么有人将恶意的 Windows 程序放到大型机上?只是希望它被下载到 Windows 机器上并运行?
我怀疑有人错误地下载了错误的文件,或者下载了正确的文件但以错误的方式(作为二进制文件而不是文本,因此没有进行文本转换)并认为它是恶意的,因为看起来都是奇怪的符号。
推荐阅读
- java - 在 JavaFx 中动态产生声音
- apache-spark - IntelliJ 在构建时抛出 sbt 错误
- c++ - Boost 默认情况下会构建共享对象吗?
- python - 如果 List 中的元素包含一个单词 | Python
- r - 在 Macos 上的 renv 下在 R 中安装 sf 包
- c# - 反序列化 IRestResponse 并写出到控制台,C#
- r - R中的条件不同行
- asp.net - 从 SmtpClient.Send 生成的电子邮件如果包装会破坏图像 src
- python - 查找列中值的平均值并创建一个分布平均值的新数据框
- javascript - 如何使用 forEach 将嵌套数组转换为对象?