8.2.3. Procédure d'analyse d'un fichier dans l'écran `New analysis`

8.2.3.1. Introduction

L'écran `New analysis` permet à un opérateur :

  • de soumettre un (ou des fichiers) via l'interface Web du GCenter afin qu'il soit analysé

  • de visualiser le rapport d'analyse
    Le moteur utilisé est celui défini dans le champ `Template`.
    Pour un fichier compressé et protégé par un mot de passe, le champ `Archive password` permet de le saisir afin d'analyser le contenu.
    Le sélecteur `Forcing` permet d'ignorer les éventuels résultats existants pour ce fichier avec ce modèle.

Note

Attention la taille maximale du fichier ne doit pas dépasser 50MB par défaut. Il n'y a pas de limitation du nombre d'analyses de fichiers.

L'interface graphique est décrite dans l'Ecran `New analysis` de la Web UI.

8.2.3.1.1. Types de fichiers supportés

  • .jpg

  • .bmp

  • .mp3

  • .avi

  • .java

  • .js

  • .sql

  • .html

  • .css

  • .class

  • .c

  • .bat

  • .pdf

  • .txt

  • .csv

  • .rules

  • .xls

  • .png

  • .key

  • .pem

  • .wav

  • .azw3

  • .mp4

  • .exe

  • .pcap

  • .xlsx

  • .docx

  • .pptx

  • .odt (géré comme une archive)

  • .tar

8.2.3.1.2. Types de fichiers non supportés

  • Bourne-Again

  • POSIX shell script

  • ELF

  • Python

8.2.3.1.3. Fichier compressés

Les caractéristiques des fichiers compressés à analyser sont décrites dans La gestion des archives.
Concernant les fichiers compressés analysés par Malcore :

  • le nombre de fichiers contenus dans une archive est limité et est modifiable (50 est la valeur par défaut).

  • le nombre de fois que le fichier est compressé est limité (niveau de récursivité max) et est modifiable (5 est la valeur par défaut).

  • si les fichiers sont protégés par un mot de passe, celui-ci doit être déclaré dans les réglages globaux.

Ces réglages ne sont accessibles qu'aux membres du groupe Administrators.

8.2.3.2. Prérequis

  • Utilisateur : membre du groupe Operators

8.2.3.3. Opérations préliminaires

8.2.3.4. Procédure

../../_images/GBOX-OP06.PNG

  • Si besoin, sélectionner le moteur à utiliser (1) dans le champ `Template`.

  • Pour les fichiers compressés protégés par un mot de passe, saisir le mot de passe (2) dans le champ `Archive password`.

  • Si besoin, utiliser le sélecteur (3) `Forcing` pour forcer la réanalyse du fichier s'il a déjà été analysé avec le même modèle sélectionné.

  • Suivant le cas :

    • déposer le fichier souhaité dans la zone (4) `DRAG and DROP`
      ou

    • cliquer sur le bouton (5) `UPLOAD` puis sélectionner le fichier à charge depuis le pc utilisateur et enfin valider la sélection

    Note

    La sélection d'un fichier ainsi que le choix d'un modèle sont obligatoires. Par contre, utiliser le sélecteur (3) `Forcing` est optionnel.
    La taille du fichier ne doit pas dépasser 50MO.
    L'analyse est automatiquement lancée et le résultat est affichée automatiquement.
    Dans le cas ou le fichier a été analysé alors le rapport est de ce type :
../../_images/GBOX-OP08.PNG

Le rapport affiché indique :

  • le nom du fichier analysé (1)

  • le résultat de l'analyse (coche = ok) et le nom du moteur utilisé (ici le moteur grip)

  • Cliquer sur le rapport (2) :

    • ouvre sa version détaillée

    • supprime le rapport de la fenêtre

    • enregistre le rapport dans la fenêtre rapport

  • Analyser les rapports.
    Pour cela, se référer à la Procédure d'analyse du contenu d'un rapport

8.2.3.5. Cas d'erreur

En cas d'erreur, un rapport est affiché : par exemple, le cas suivant...

../../_images/GBOX-OP07.PNG

Le rapport affiché indique :

  • le nom du fichier analysé (1)

  • la présence d'une erreur (3)

  • le type de l'erreur (2) : ici le nombre maximum de fichiers inclus dans un fichier compressé a été atteint (10 max)

Note

Si le fichier est trop grand alors le message est : `File is larger than 50.00MB`.