#mainframe
#мэйнфрейм
Вопрос:
Мне был предоставлен файл, загруженный с мэйнфрейма, который пользователь посчитал вредоносным. У нас есть отдельная среда Windows 10, предназначенная для судебной экспертизы. С помощью filezilla администратор подключился к мэйнфрейму и загрузил файл в судебную среду Windows.
После просмотра файла без интернета (в автономном режиме) Я нашел файл и перешел в свойства. Файл отображается как «ФАЙЛ ОТЧЕТА». Я попытался открыть файл с помощью блокнота и Wordpad, обе попытки просто показали набор неформатированных символов. Если я правильно понимаю мэйнфреймы, данные хранятся с использованием EBDCIC (расширенный двоичный кодированный десятичный код обмена)
Я хотел бы отсканировать документ, чтобы выяснить, есть ли какие-либо скрытые сценарии или макросы, а затем хотел бы открыть документ и узнать, что написано.
Спасибо за помощь.
Комментарии:
1. Google для «ebcdic viewer»
2. Спасибо. Я нашел пару предложений от groups.google.com/g/bit.listserv.ibm-main/c/hoXLh_wIa1w?pli=1
Ответ №1:
Вам нужна дополнительная информация об исходном файле мэйнфрейма — предполагается, что это текстовый файл или файл данных / программы? Если текст, то просто передайте его по FTP с мэйнфрейма на КОМПЬЮТЕР в виде текста — программа FTP должна выполнить необходимые преобразования.
Файлы мэйнфрейма не могут содержать скрытых сценариев или макросов.
Что заставляет вас думать, что это вредоносный файл, и почему кто-то поместил вредоносную программу Windows на мэйнфрейм? Просто в надежде, что он будет загружен на компьютер с Windows и запущен?
Я подозреваю, что кто-то загрузил либо неправильный файл по ошибке, либо правильный файл, но неправильным способом (поскольку двоичный файл не текстовый, и поэтому преобразование текста не выполнено) и считает его вредоносным из-за того, что кажется всеми странными символами.
Комментарии:
1. Спасибо за ответ. Я собираю больше информации и добавлю дополнительное примечание позже, когда получу больше информации.
2. Предполагается, что это файл данных / программы. Считалось, что это вредоносный файл, поскольку пользователь не распознал файл и не помнит, когда использовал этот файл. В настоящее время мы попытались открыть / просмотреть документ с помощью notepad, notepad , hexEdit (двоичный), Microsoft word, excel, powerpoint и access.
3. @Rbuckle Почему бы вам просто не изучить файл на мэйнфрейме?
4. Отличный вопрос: я не являюсь администратором мэйнфрейма. Если бы мне был предоставлен доступ к мэйнфрейму, какие минимальные разрешения мне понадобились бы для проверки.
5. Вам нужно получить исходное имя файла мэйнфрейма, а затем поговорить с программистами систем мэйнфрейма (эквивалент системного администратора в linux / Windows). Они смогут просмотреть файл и сообщить вам, что это такое. Если вы не знаете имя файла на мэйнфрейме, они смогут загрузить файл на мэйнфрейм и изучить его содержимое. Крайне маловероятно, что он вредоносный, поскольку это означало бы, что кто-то каким-то образом загрузил вредоносную программу Windows на мэйнфрейм в надежде, что кто-то сможет загрузить и выполнить ее — маловероятно.