大型机潜在恶意文件取证调查

Question

我得到了一个从大型机下载的文件，用户认为它是恶意的。我们有一个专门为取证而设计的单独的Windows10环境。管理员使用filezilla连接到大型机，并将文件下载到取证windows环境中。

在没有互联网(离线)的情况下查看文件时，我找到了该文件并转到了属性。该文件显示为“报告文件”。我尝试用记事本和写字板打开文件，两次尝试都只显示了一组未格式化的符号。如果我对大型机的理解是正确的，那么数据是使用EBDCIC (扩展的二进制编码的十进制交换码)存储的。

我想扫描文档，找出是否有任何隐藏的脚本或宏，然后想打开文档，找出写了什么。

谢谢你的帮助。

Answer 1

您需要有关原始大型机文件的更多信息-它应该是文本文件还是数据/程序文件？如果是文本，那么只需将其作为文本从大型机通过FTP传输到PC - FTP程序应执行必要的转换。

大型机文件不能有隐藏的脚本或宏。

是什么让你认为它是恶意的?为什么有人要在大型机上安装一个恶意的Windows程序？希望它被下载到Windows机器上并运行吗？

我怀疑有人错误地下载了错误的文件，或者下载了正确的文件，但以错误的方式(作为二进制文件，而不是文本，因此没有完成文本转换)，并认为它是恶意的，因为似乎所有奇怪的符号。