検体の情報取得方法
通常検索かアグレッシブ検索のどちらで検出されたかどうかを確認します。以下の手順で検体を特定し、取得してください。
- サーバのウイルスログから該当するログを確認し、生成日時、ファイル名、パス等の情報を確認します。
※サーバのログに記録されている「受信日時」は実際に検出した時間ではなく、サーバにログが上がった
時間です。エージェントでの検出日時は「生成日時」を確認してください。
- デバイスを特定して、サーバから確認した情報を元にエージェントのログを確認します。
- VSEncode.exe を実行して、更新時間(Modified の項目)、検出場所(Original Location の項目)からバックアップされたファイルを特定します。
※このログはDCEによって駆除が行われたため、2つのバックアップファイルが作成されています。
VSEncode.exe は Web管理コンソールの [管理]-[ツール]-[デバイスツール]-[感染ファイルの復元]からダウンロードします。
この作業でVSEncode.exe にて隔離時に行われたファイルの暗号化を復号してファイルを取り出す必要はございません。
検体として解析調査をすることが目的の場合、バックアップされたファイルから元のファイル名を確認するためのみにこのツールを使用します。
- ファイル名を特定後に下記フォルダから該当ファイルを見つけて検体として登録します。
C:\Program Files\Trend Micro\Client Server Security Agent\Suspect
C:\Program Files\Trend Micro\Client Server Security Agent\Suspect\backup
C:\Program Files\Trend Micro\Client Server Security Agent\Suspect\backup
C:\Program Files\Trend Micro\Client Server Security Agent\Suspect
C:\Program Files\Trend Micro\Client Server Security Agent\Suspect\backup
検体の解析依頼について
取得した検体ファイルの解析依頼方法については、次の製品Q&A からご確認ください。