Sie können festlegen, dass ein Intellisig-Skript nur ausgeführt wird, wenn eine bestimmte Bedingung oder ein Auslöser erfüllt wird. Diese Einschränkung ermöglicht das Entwerfen von effizienten Intellisigs. Nicht jedes Intellisig muss ein Dateisystem nach bestimmten Dateien durchsuchen. Sie können den Scanner anweisen, nach bestimmten Dateien, Registrierungseinträgen, Services oder installierten Paketen zu suchen, und das Intellisig-Skript wird ausgeführt, wenn diese Bedingungen erfüllt sind. Der Scanner führt die Dateisystemsuche nur einmal durch, ungeachtet der Anzahl von angegebenen Dateikriterien.
Hinweis: Diese Auslöser werden auf die gleiche Weise definiert wie die herkömmlichen Signaturdefinitionen. Erfahrung beim Erstellen herkömmlicher Signaturen mithilfe dieser Kriterien ist eine Voraussetzung.
Die Typen von Auslösern, die einem Intellisig zugeordnet werden können, sind Folgende:
Unterstützt die Überprüfung, ob bestimmte Dateien vorhanden sind, unter Angabe von Kriterien für Suchpfade, Dateinameninhaltsmuster, Dateierstellungs- und Änderungsdatumsbereiche, Dateigrößenbereiche, MD5-Hashwerte, und Berechtigungen.
Unterstützt die Überprüfung der Registrierungseinträge auf bestimmte Schlüssel, Musterabgleich von Werten sowie 32-Bit- und 64-Bit-Hiveüberprüfungen.
Überprüft ein installiertes Paket, unter Angabe der Version, und des Release. Unter Windows überprüft diese Option die Softwaredatenbank. Unter UNIX überprüft es die Installationsdatenbank der Plattform.
Sucht nach einem installierten Service oder Daemon.
Unterstützt die Überprüfung von Attributen wie Plattform, Prozessor, BS-Release, BS-Name und BS-Version.
Mehrere Auslöserkriterien können für ein Intellisig angegeben werden, und die Auslöser können mit den logischen Operatoren UND, ODER und NICHT gruppiert werden. Die logischen Operatoren werden als Gruppen mit einem Typ definiert. Der Typ kann entweder und, oder oder nicht sein, und er definiert, wie die Ergebnisse von Elementen, die innerhalb der Gruppe enthalten sind, verbunden werden. Eine Gruppe (außer NICHT-Gruppen) kann eine Anzahl zusätzlicher Auslöserkriterien, einschließlich weiterer Gruppen, enthalten. Eine Gruppe von Typ NICHT kann nur ein einzelnes Element enthalten, obwohl dieses einzelne Element eine andere Gruppe sein kann.
Sie können bei der Definition eines Intellisig-Auslösers Verzeichnisse ausschließen. Die ausgeschlossenen Verzeichnisse werden ausgeschlossen, wenn der Signatur-Scanner das Dateisystem nach den in den Dateiauslöserkriterien angegebenen Dateien durchsucht.
Geben Sie beim Verfassen eines Auslösers Kriterien mithilfe von XML an.
Nehmen Sie eine Gruppe auf der obersten Ebene in jeden Auslöser auf. Jede Gruppe enthält einen Typ. Der Typ ist entweder und, oder oder nicht. Der Typ definiert den logischen Vorgang, der auf die in der Gruppe enthaltenen Kriterien angewandt wird.
<group type="and"> ...<andere Kriterien>… </group>
Dateikriterien werden mit dem <file>-Tag definiert. Das <file>-Tag unterstützt die folgenden Attribute:
Gibt die zu suchende Datei an
Gibt den Pfad für die Suche an
Durchsucht die angegebene Datei nach einer Übereinstimmung des angegebenen Musters
Vergleicht den MD5-Hashwert der Datei mit dem angegebenen Wert
Vergleicht die Version der angegebenen Datei mit dem angegebenen Wert
Vergleicht die Version der angegebenen Datei mit dem angegebenen Wert
Vergleicht das Dateierstellungsdatum der angegebenen Datei mit dem angegebenen Wert
Vergleicht das Dateierstellungsdatum der angegebenen Datei mit dem angegebenen Wert
Vergleicht das Dateiänderungsdatum der angegebenen Datei mit dem angegebenen Wert
Vergleicht das Dateiänderungsdatum der angegebenen Datei mit dem angegebenen Wert
Vergleicht die Dateigröße der angegebenen Datei mit dem angegebenen Größenwert
Vergleicht die Dateigröße der angegebenen Datei mit dem angegebenen Größenwert
Schließt Berechtigungen aus
Schließt Berechtigungen ein
Gibt den Root-Eigentümer der Datei an
Erlaubt ACL
Lehnt ACL ab
Gibt die Architektur einer binären Datei auf der Windows-Plattform an
Beispiel:
<group type="and"> <file name="msword.exe" path="*" /> </group>
Registrierungskriterien werden mit dem <registry>-Tag angegeben. Das <registry>-Tag unterstützt die folgenden Attribute:
Gibt den zu suchenden Registrierungsschlüssel an
Gibt das abzugleichende Muster an
Erlaubt ACL
Lehnt ACL ab
Gibt das Verhalten auf einem 64-Bit-Rechner an. Unterstützte Werte sind 32, 64 und "any". Auf einem 64-Bit-Windows-Computer wird beim Angeben von 64 nur der 64-Bit-Hive nach dem angegebenen Schlüssel durchsucht. Durch Angabe von 32 wird nur der 32-Bit-Hive auf einem 64-Bit-Rechner durchsucht. Dieser Wert wird auf einem 32-Bit-Computer ignoriert. Wenn die Architektur nicht angegeben wird, ist 32 das Standardverhalten.
Beispiel:
<group type="and"> <registry name="HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Adobe Acrobat\6.0\Language\UI" match="ENU" /> </group>
Paketkriterien werden mit dem <package>-Tag angegeben. Das <package>-Tag unterstützt die folgenden Attribute:
Gibt den Namen des zu suchenden installierten Produkts an
Gibt die Version des zu suchenden installierten Produkts an
Beispiel:
<group type="and"> <package name="DameWare Mini Remote Control" version="6.0.*" />
Servicekriterien werden mit dem <service>-Tag angegeben. Das <service>-Tag unterstützt die folgenden Attribute:
Gibt den Namen des zu suchenden installierten Services an
Gibt den Pfad zum installierten Service an (nur UNIX)
Beispiel:
<group type="and"> <service name="SNMP"/> </group>
Systeminformationskriterien werden mit dem <sysinfo>-Tag angegeben. Das <sysinfo>-Tag unterstützt die folgenden Attribute:
Gibt an, ob die Plattform unter Windows x86 oder x64 ist
Identifiziert den Prozessor
Gibt den Betriebssystem-Release an
Gibt den Namen des Betriebssystem an
Gibt die Version des Betriebssystems an
Beispiel:
<group type="and"> <sysinfo osname="Windows" /> </group>
Wenn ein Auslöser ausgelöst und das Intellisig-Skript ausgeführt wird, wird eine Zeichenfolge an das Skript übergeben, die die Kriterien definiert, die zum Auslösen des Intellisigs führten. Der Auslöser wird dem Intellisig-Skript mithilfe des -t-Flags übergeben. Das Format der Auslöserzeichenfolge, die an das Skript übergeben wird, hängt von den in der Auslöserdefinition verwendeten Kriterientypen ab. Die folgende Tabelle gibt Beispiele für Auslöserzeichenfolgen mit unterschiedlichen verwendeten Auslöser-Kriterientypen an. Wo mehrere Auslöser zur Ausführung eines Intellisig-Skript beitragen, werden die einzelnen Kriterien mit | als Trennzeichen angegeben. Ein Intellisig-Skript muss den Auslöser analysieren können, um die bei der Auslöserauswertung erfolgte Verarbeitung nutzen zu können.
|
Datei |
Beispiel für Auslöser |
-t-Parameterbeispiele |
|---|---|---|
|
file |
<group type="and"> <file name="file1.test" path="*" /> </group> <group type="not"> <file name="file1.test" path="*" /> </group> |
Positiver Auslöser: -t "file:c:\file1.test" NICHT-Auslöser: -t "!file:file1.test" Für den NICHT-Auslöser kann kein vollständiger Pfad angegeben werden. |
|
Registrierung |
<group type="and"> <registry name="HKEY_LOCAL_MACHINE\SOFTWARE\iSigTest\T1" match="V1"/> </group> <group type="not"> <registry name="HKEY_LOCAL_MACHINE\SOFTWARE\iSigTest\T1" match="V1"/> </group> |
Positiver Auslöser: -t "registry:HKEY_LOCAL_MACHINE\SOFTWARE\iSigTest\T1" NICHT-Auslöser: -t "!registry:HKEY_LOCAL_MACHINE\SOFTWARE\iSigTest\T1" |
|
service |
<group type="and"> <service name="DNS Client"/> </group> <group type="not"> <service name="DNS Client"/> </group> |
Positiver Auslöser: -t "service:DNS Client" NICHT-Auslöser: -t "!service:DNS" |
|
sysinfo |
<group type="and"> <sysinfo osname="windows" platform="x86"/> </group>
<group type="not"> <sysinfo osname="windows" platform="x86"/> </group> |
Positiver Auslöser: -t "sysinfo:osname=Windows;platform=x86" NICHT-Auslöser: -t "!sysinfo:osname=Linux;platform=x86" |
|
package |
<group type="and"> <package name="CA DSM Explorer"/> </group>
<group type="not"> <package name="CA DSM Explorer"/> </group> |
Positiver Auslöser: -t "package:CA DSM Explorer"
NICHT-Auslöser: -t "!package:CA DSM Explorer EXTRA123" |
|
Copyright © 2014 CA Technologies.
Alle Rechte vorbehalten.
|
|
