Команды сбора информации

Команды сбора информации используются, чтобы получить информацию об объектах, которые не попали в отчет при штатном запуске утилиты. Для сбора информации о конкретном объекте добавьте команду сбора информации в скрипт вручную. Для этого введите нужные команды в области команд на панели Утилита FixIt!.

Ниже указаны доступные команды. Чтобы просмотреть список доступных команд в сервисе, нажмите кнопку commands Команды на вкладке Утилита FixIt!.

Команда

Описание

inspect-fs [-r] [-p] <Путь>

Собрать информацию о файле или каталоге.

Если указана опция -r, то информация будет собрана об указанном каталоге и рекурсивно о каждом файле и подкаталоге.

Если указана опция -p, то для получения списка файлов будет по возможности использоваться парсер файловой системы (FAT/NTFS). Применяется только для каталогов.

В каталог ARTEFACTS попадают файлы.

Пример:

inspect-fs -r "C:\Malware"

Поддерживаются маски при задании имени файла.

menu_bar_openПодробнее о масках

Маска задает общую часть имени файла. При этом:

символ «*» заменяет любую, возможно, пустую, последовательность символов;

символ «?» заменяет любой, но только один символ;

остальные символы маски ничего не заменяют и означают, что на этом месте в имени должен находиться именно этот символ.

Примеры:

отчет*.pdf – маска, задающая все PDF-документы, название которых начинается с подстроки «отчет», например, файлы отчет-февраль.pdf, отчет121209.pdf и т. д.;

*.exe – маска, задающая все файлы c расширением EXE, например, setup.exe, iTunes.exe и т. д.;

photo????09.jpg – маска, задающая все файлы изображений формата JPG, название которых начинается с подстроки «photo» и заканчивается подстрокой «09», при этом между двумя этими подстроками в названии файла стоит ровно четыре произвольных символа, например, photo121209.jpg, photoмама09.jpg или photo----09.jpg.

inspect-reg <SID> <Путь к ключу>

Собрать информацию о ключе реестра.

Допустимые значения <SID>: .DEFAULT, HKLM, HKCU и HKU, а также значения, начинающиеся с последовательности символов S-1-5.

Пример:

inspect-reg HKLM "SOFTWARE\Malware"

inspect-proc --pid <PID>  /--imagename <Имя> / --imagepath <Путь> / --cmdline <Командная строка>

Собрать информацию о процессах.

В каталог ARTEFACTS попадают дампы процессов.

Пример:

inspect-proc --imagename win32calc.exe

inspect-disk <Disk ID> <Сектор> <Количество>

Собрать информацию о секторах диска.

В каталог ARTEFACTS попадает дамп секторов.

Пример:

inspect-disk 0 10 2

inspect-drv --imagebase <База образа> / --imagesize <Размер образа> / --imagename <Имя> / --imagepath <Путь>

Собрать информацию о драйвераx с указанными базами образов, размером, именем или путем к файлу.

В каталог ARTEFACTS попадают дампы драйверов.

Пример:

inspect-drv --imagebase 0xfffff8064e540000