Schwerpunkt: Verwendung von Fingerprints
1. Was sind Fingerprints?
2. Wofür benötige ich Fingerprints?
3. Woher bekomme ich Fingerprints?
4. Was muss ich beim Einsatz von Fingerprints beachten?
2. Wofür benötige ich Fingerprints?
3. Woher bekomme ich Fingerprints?
4. Was muss ich beim Einsatz von Fingerprints beachten?
Was sind Fingerprints?
Mit einem Fingerprint bezeichnen wir Dateimuster, mit denen sich das Dateiformat eindeutig erkennen lässt.
Ein Fingerprint kann aus einem Namensmuster und/oder einem Binärmuster bestehen. Ein Namensmuster identifiziert das Dateiformat anhand von Dateiname und -erweiterung (*.vbs, ...), ein Binärmuster anhand von eindeutigen binären Dateiinformationen.
Ein Fingerprint kann aus einem Namensmuster und/oder einem Binärmuster bestehen. Ein Namensmuster identifiziert das Dateiformat anhand von Dateiname und -erweiterung (*.vbs, ...), ein Binärmuster anhand von eindeutigen binären Dateiinformationen.
 |
 |
|
|
Wofür benötige ich Fingerprints?
Fingerprints werden von der iQ.Suite zur Dateierkennung benötigt. Durch die Angabe von Fingerprints in den Jobs, beispielsweise in einem Watchdog-Job zur Dateieinschränkung, können Sie Dateitypen eindeutig erkennen und ggf. herausfiltern. Auch diverse Drittprodukte wie z.B. Virenscanner, Entpacker, Textanalyzer und Konverter werden durch Fingerprints gesteuert. Dabei sind binäre Dateiinformationen der sichere Weg, ein Dateiformat zu erkennen und Manipulationen auszuschließen. Mit einem Namensmuster ist es möglich, schnell auf neue Situationen zu reagieren und ein bestimmtes Dateiformat oder eine konkrete Datei anhand des Namens zu identifizieren.
|
|
|
|
Woher bekomme ich Fingerprints?
In jeder iQ.Suite Version sind aktualisierte Fingerprints enthalten. Sollten Sie einen bestimmten Fingerprint benötigen, stellt Ihnen unser Support gerne bekannte Fingerprint-Typen zur Verfügung. Bitte spezifizieren Sie Ihre Anfrage nach individuellen Fingerprints exakt, da Fingerprints jeweils auf spezielle Anforderungen angepasst werden und einer Validierung bedürfen.
Fingerprints - auch exotischerer Formate - finden Sie oftmals auch mittels Internet-Recherche, wenn Sie unter dem Suchbegriff "Magic Numbers" suchen.
Falls Ihnen der Hersteller des Dateiformats bekannt ist, können Sie die Fingerprints auch direkt dort erfragen.
Fingerprints - auch exotischerer Formate - finden Sie oftmals auch mittels Internet-Recherche, wenn Sie unter dem Suchbegriff "Magic Numbers" suchen.
Falls Ihnen der Hersteller des Dateiformats bekannt ist, können Sie die Fingerprints auch direkt dort erfragen.
|
|
|
|
Was muss ich beim Einsatz von Fingerprints beachten?
Fingerprints sind stark vom Aufbau der Datei abhängig und können sich daher auch bei kleineren Ãnderungen im Dateiformat ändern. Ein Fingerprint sollte sorgfältig gewählt werden, da es ansonsten schnell zu false positves (= fälschlich als zu blockend deklarierte Mails) kommen kann. Als Beispiel sei ein Microsoft Office-Dokument angefährt, welches eine ausführbare Datei enthält. Ausführbare Dateien enthalten im Binärmuster normalerweise am Anfang der Datei ein "MZ". Dieses "MZ" kann aber innerhalb eines Office-Dokumentes sehr häufig vorkommen und ist somit kein Garant für das Vorhandensein einer *.exe-Datei.
In der iQ.Suite sind "suchende" Fingerprints, also Fingerprints, die ein bestimmtes Dateimuster über die gesamte Datei suchen, sehr zeitaufwändig und sollten daher möglichst vermieden werden. Dateimuster werden besser nur über einen bestimmten vorher angegebenen Bereich der Datei gesucht.
Wenn Sie die iQ.Suite für Domino einsetzen, beachten Sie, dass das Logging für die Watchdog-Suche mit Fingerprint nicht auf Loglevel 9 eingestellt ist!
In der iQ.Suite sind "suchende" Fingerprints, also Fingerprints, die ein bestimmtes Dateimuster über die gesamte Datei suchen, sehr zeitaufwändig und sollten daher möglichst vermieden werden. Dateimuster werden besser nur über einen bestimmten vorher angegebenen Bereich der Datei gesucht.
Wenn Sie die iQ.Suite für Domino einsetzen, beachten Sie, dass das Logging für die Watchdog-Suche mit Fingerprint nicht auf Loglevel 9 eingestellt ist!
|
|
|
|
