手动上传电源壳脚本失败 WildFire 从不受支持的文件类型

手动上传电源壳脚本失败 WildFire 从不受支持的文件类型

19168
Created On 04/25/19 13:45 PM - Last Modified 03/26/21 17:39 PM


Symptom


手动上传电源壳脚本 Wildfire 失败与错误"不受支持的文件类型"。
上传样本上错误消息的屏幕 WildFire 截图
 

Environment


WildFire

Cause


PowerShellsScript 的文件类型是" ASCII 文本

"$文件
脚本脚本: ASCII 文本,带有 CRLF 行终结者


NOTE: 这通常发生,因为从外部网站下载脚本(如 VT 将保存文件而不扩展)这样下载不会意外感染自己。 请务必在上传脚本之前添加扩展以 wildfire 供分析。

 

Resolution


STEP 1: 为脚本添加适当的扩展。 这是必要的,因为PowerShell脚本的文件类型是 ASCII "文本", WildFire 并将在接受手动上传之前验证扩展是否正确。

$mv脚本脚本

。ps1$文件脚本
.ps1脚本.ps1: ASCII 文本,与 CRLF 行终结器


STEP 2: 手动上传脚本。ps1将是成功的。
WildFire上传样本成功截图

此解决方案也适用于 JS 以及 VBS 适用于此解决方案。






 

Additional Information


手动上传其他样本,如 PE 文件将取得成功,即使没有扩展,因为 WildFire 将能够检测文件类型使用此文件头
:$文件
样本:PE32可执行 GUI () 英特尔 80386, 有关 MS Windows

WildFire成功上传样本的屏幕截图

的其他信息, WildFire 请参照本文: https://docs.paloaltonetworks.com/ wildfire /8-1/ wildfire - 管理员 / 概述 / wildfire wildfire 文件类型支持.html

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLm4CAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language