Antivirus and Security Software from Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Centro de recursos

Sophos AutoUpdate: entradas de registro y archivos relevantes

 

Archivos relevantes

ALsvc.exe ALUpdate.log

ALUpdate.exe

 Iconn.cfg

ALMon.exe

 Ilog.cfg

SAUConfigDLL.dll

 Imon.cfg
AUAdapter.dll Isched.cfg
ALC.log

Claves de registro relevantes (enumeradas a continuación)

Cuentas y grupos relevantes (enumerados a continuación)


Archivos relevantes

ALsvc.exe

Servicio de AutoUpdate, que se ejecuta como 'Usuario del sistema'.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe

Al iniciarse, realiza una comprobación de las actualizaciones del CID. ALSvc.exe ejecuta un programador que inicia las actualizaciones programadas. Ofrece una interfaz que permite iniciar actualizaciones.

El siguiente VBScript puede utilizarse para solicitar una actualización a través del servicio:

Dim objALC
Set objALC = CreateObject("ActiveLinkClient.ClientUpdate.1")
objALC.UpdateNow 1,1
ALUpdate.exe

ALUpdate.exe es el archivo responsable de la conexión a la red y de la descarga de archivos.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\ALUpdate.exe

Al principio de una actualización, el servicio de Sophos AutoUpdate copia ALUpdate.exe y las dll y certificados necesarios de la ubicación anterior a: %windir%\temp\sophos_autoupdate1.dir\ALUpdate.exe.

Esto permite que AutoUpdate se actualice, si es necesario.

Se ejecuta durante la actualización como usuario del sistema pero suplanta la cuenta local SophosSAU. Consulte la sección "Cuentas y grupos relevantes" para más información sobre este usuario. ALUpdate.exe se ejecuta con los parámetros siguientes: Alupdate.exe -ManualUpdate -NoGUI -RootPath"C:\Archivos de programa\Sophos\AutoUpdate"
ALMon.exe

Este archivo coloca el icono del escudo en la bandeja del sistema.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe

ALMon.exe es un servidor DCOM ("dcomcnfg" - "DCOM Config" - "iMonitor") que permite que Sophos Anti-Virus muestre alertas de virus en el escritorio del usuario. Se ejecuta desde el menú de Inicio de 'All users' (C:\documents andSettings\All Users\Menú Inicio\Programas\Inicio\AutoUpdate Monitor.lnk) con el nombre de usuario que inició sesión.

Para iniciar el cuadro de diálogo de configuración utilizando VBScript: (este método es el mismo que se utilizaría desde Sophos para abrir el cuadro de diálogo de actualización de la configuración)

Dim monitor
Set monitor =
createobject(“iMonitor.PropertiesDialog.1”)
Monitor.displaysheet

Para eliminar el icono de la bandeja del sistema, utilice la siguiente clave del registro:
HKLM\SOFTWARE\Sophos\AutoUpdate
HideTrayIcon (DWORD) 1/0
SAUConfigDLL.dll

Este archivo ofrece funciones automáticas para leer y cambiar la configuración de AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\SAUConfig.dll

Este VBScript de ejemplo cambiaría la ruta de actualización:

Dim obj, addr
Set obj = CreateObject("SAUConfigDLL.SAUConfig")
Set addr = obj.GetAddress(0)
Addr.Address = http://onetwothree
Obj.Commit
AUAdapter.dll

Adaptador cargado por el agente de Sophos para la comunicación del sistema de mensajería con AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\AUAdpater.dll

Esta ubicación se especifica en DLLPath en la clave de registro siguiente: HKLM\SOFTWARE\Sophos\Remote Management System\ManagementAgent\Adapters\ALC
ALC.log

Archivo de registro utilizado por el visor del registro integrado en AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Logs\alc.log

Alc.log es un archivo de texto. A continuación se ofrece un extracto del mismo:
Categoría Nombre del cliente Nivel ID del proceso ID de la DLL del recurso ID de la cadena ID del hilo Sello de tiempo Detalles
El ID del registro para las entradas de AutoUpdate. El módulo que produce la entrada. Nivel de registro 0=depurado, 25=detallado, 50=normal. El ID del proceso asignado por Windows. El ID de la dll que contiene el ID de la cadena. El ID de la cadena que aparece en el archivo .hdr.

Detalles
0x4 ALUpdate 0x32 0xf58

0x1

 0x53 0xdb4 0x446d16a4 SAVXP
0x4 ALUpdate 0x32 0xf58

0x1

 0x53 0xdb4 0x446d16a4 Sophos AutoUpdate
0x4 ALUpdate 0x32 0xf58

0x1

 0x7b 0xdb4 0x446d16a5
0x4 ALUpdate 0x32 0x990

0x1

 0x6 0x1e4 0x446d1b51
0x4 CIDUpdate 0x32 0x990

0x1

 0x55 0x1e4 0x446d1b52 RMSNT\\uk-sec2\ InterChk\ESXP\
ALUpdate.log

Este registro más detallado muestra el funcionamiento de AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Logs\ALUpdate.log
Iconn.cfg

Este archivo contiene la configuración de AutoUpdate en relación a las ubicaciones de actualización y las cuentas utilizadas.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Config\iconn.cfg

Los valores son autoexplicativos y NO deberían editarse de forma manual.

[PPI.WebConfig_Primary]
AllowLocalConfig = 0
AutoDialTimeout =
LocalPath =
DownloadGranularity =
ConnectionAddress =\\Connectaddress\InterChk\ESXP\
UserName = Domain\Admin
UserPassword =UserPassword/nyo=
ConnectionType = UNC
UseSophos = 0
AutoDial = 0
BandwidthLimit = 0
PortNumber =

[PPI.ProxyConfig_Primary]
AllowLocalConfig = 0
ProxyPortNumber = 8080
ProxyType = 0

[PPI.WebConfig_Secondary]
AllowLocalConfig = 0
AutoDialTimeout =
LocalPath =
DownloadGranularity =
UseSophos = 0
AutoDial = 0
BandwidthLimit = 0

[PPI.ProxyConfig_Secondary]
AllowLocalConfig =0
ProxyPortNumber = 8080
ProxyType = 0
Ilog.cfg

Contiene la configuración del registro establecida en la ficha de registro de AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Config\ilog.cfg
Imon.cfg

Este archivo contiene la configuración de ALMon.exe (el icono del escudo en la bandeja).

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Config\imon.cfg

[Configuration.iMonitor_v1.0]
AllowLocalConfig = 1
AnimateTrayIcon = 1
AllowMonitorToRun = 1
OverrideSecurity = 0
DisallowConfigure = 0
LogErrors = 0
ShowProgress = 0
ShowRebootDialog= 1
Isched.cfg

Contiene la configuración del programador establecida en la ficha de programación de AutoUpdate.

Ubicación: C:\Archivos de programa\Sophos\AutoUpdate\Config\isched.cfg

Los archivos siguientes se encuentran en: C:\Archivos de programa\Sophos\AutoUpdate\

  • Cidsync.upd: utilizado por alupdate.exe al actualizar actualizaciones de CID. El archivo se utiliza como catálogo para determinar qué archivos son necesarios para cada paquete.
  • Libeay32.dll: utilizado para verificar que los productos descargados de directorios están firmados por Sophos.
  • Ps.crl and Ps_rootca.crt: lista de revocación de certificados y certificado de raíz utilizado para verificar que los productos descargados de directorios están firmados por Sophos.
  • Scf.dat: indica a Sophos Client Firewall que confíe en AutoUpdate al conectarse a Internet.
  • Swlocale.dll: ofrece un algoritmo para seleccionar qué recurso de idiomas debería utilizarse.

Claves de registro relevantes

HKLM\SOFTWARE\Sophos\AutoUpdate\HideConnectionDialogy
HKLM\SOFTWARE\Sophos\AutoUpdate\HideTrayIcon

Estas dos claves son autoexplicativas. Un valor 1 oculta el cuadro de diálogo de conexión y el icono de la bandeja, mientras que el valor 0 (predeterminado) muestra ambos.

HKLM\SOFTWARE\Sophos\AutoUpdate\Service\Download User
Nombre de usuario de la cuenta de suplantación creada durante la instalación de AutoUpdate. Por ejemplo, SophosSAU<equipo><Idunico>.
Si la cuenta, el nombre de usuario y la contraseña existen antes de la instalación, se utilizarán.

HKLM\SOFTWARE\Sophos\AutoUpdate\Service\Download Password
Contraseña de la cuenta de suplantación utilizada durante la instalación de AutoUpdate.
Nota: la contraseña se almacena en forma de texto pero protegida por la ACL en la clave.

HKLM\SOFTWARE\Sophos\AutoUpdate\UpdateStatus\LastUpdateTime
Tipo: DWORD
Ejemplo: 1148044708 (decimal)
Contiene la hora de la última comprobación de actualizaciones. El VBScript siguiente lee el valor anterior y muestra la hora.

Dim tZ, uKey, shell, lastUp
tZ = +1 'hora en relación a GMT
uKey ="HKLM\Software\sophos\AutoUpdate\UpdateStatus\LastUpdate Time"
Set shell =CreateObject("WScript.Shell")
lastUp = shell.RegRead (uKey)
wscript.echoDateAdd
("h",tZ,(DateAdd("s",lastUp,"01/01/1970 00:00:00")))

Debería ser también la hora de la última actualización que aparece al pasar el ratón sobre el icono del escudo de Sophos de la bandeja del sistema.

NOTA: no es la hora de la última instalación.

HKLM\SYSTEM\CurrentControlSet\Services\Sophos AutoUpdateService
La clave de registro creada al registrar el servicio de AutoUpdate.

Cuentas y grupos relevantes

SophosSAU<equipo><idunico>
Esta cuenta se suplanta en todas las actualizaciones de alupdate.exe.

El nombre de la cuenta puede tener un máximo de 20 caracteres, por lo que el nombre del equipo se acorta según sea necesario. El valor <idunico> se utiliza para varios controladores de dominio, creando una cuenta única para cada controlador del dominio.

Si necesita más ayuda, póngase en contacto con soporte técnico.