App.exe wird nicht WildFire von der Firewall
0
Created On 04/01/19 10:33 AM - Last Modified 07/19/22 23:14 PM
Symptom
App.exe wird nicht zur WildFire Analyse durch die firewall weitergeleitet.
Cause
1) Wir können sehen, dass die Portable Executable ( PE ) Datei ein unterstützter Dateityp für WildFire die Analyse ist: https://docs.paloaltonetworks.com/
wildfire /8-1/ wildfire -admin/ wildfire -overview/ wildfire -file-type-support.html
2) Bei näherem Hinsehen von App.exe in Endpoint, wir können sehen, dass App.exe eine Textdatei ist, obwohl es eine .exe Erweiterung hat und die Textdatei kein unterstützter Dateityp für WildFire die Analyse ist: -
Datei-App.exe
App.exe: ASCII Text, ohne Zeilenabschlusszeichen
3) Wir erkennen .exe Dateien basierend auf Dateiheader-Informationen und nicht auf der Erweiterung. Für eine echte .exe Datei, können wir sehen, dass der MZ Header vorhanden ist:
xxd Probe.exe | Kopf -2
00000000: 4d5a 5000 0200 0000 0400 0f00 ffff 0000 MZP .............
00000010: b800 0000 0000 0000 4000 1a00 0000 0000 ..............
$ Dateibeispiel.exe
Beispiel.exe: PE32 ausführbare Datei ( GUI ) Intel 80386, für MS Windows
Resolution
Dies funktioniert wie erwartet, da die Textdatei kein unterstützter Dateityp für die WildFire Analyse ist.