感染したオブジェクトの削除後、そのオブジェクトは保管領域に配置されます。
EICAR テストファイルを使用して、保管領域の機能を確認できます。このテストウイルスは、ウイルス対策プログラムの動作をチェックするために European Institute for Computer Antivirus Research(EICAR)によって開発されました。
EICAR テストファイルはウイルスではなく、コンピューターに損害を与える可能性のあるプログラムコードは含まれていませんが、ほとんどのウイルス対策プログラムは脅威として識別します。
テストウイルスを含むファイルの名前は eicar.com です。EICAR の Web サイトからダウンロードできます。
保管領域の機能を確認するには:
curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt
echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard
テストファイルは、数秒後、または開こうとするとすぐに削除されます。
kesl-control -B –query
両方のテストファイルが保管領域に配置されます。
FileName
フィールドで standard を含むすべてのファイルを問い合わせます:kesl-control -B --query "FileName like '%standard%'"
kesl-control -B --query "AddTime > '1588252951'"
クエリの使用の詳細については、「論理式の使用」セクションを参照してください。
ObjectId
フィールドを使用してファイルを復元します:kesl-control -B --restore 1
ファイルは元の場所に復元されます。ls
コマンドはファイルを開かないため、ファイル脅威対策タスクによって削除されません。しかし、それを cat
すると、ファイルが検知されて削除され、保管領域に移動されます。
kesl-control -B --restore 2 --file /tmp/newfile
指定した場所にファイルが復元されます。