А вашата антивирусна програма улавя архиви, защитени с парола

Онзи ден получих типично писмо:

антивирусна

Прелистих, без да гледам, защото вече е ясно какъв счетоводител има заедно с фактурите. И тази сутрин чистих пощенската кутия, имаше минута и ми стана любопитно какви са „пътителните листове“ (гледайки напред - в писмото имаше служител на шифър). Резултатът не е лош - 31 от 56:

антивирусна

И, очевидно, няколко безплатни минути ми удариха главата, реших да се отдам. Опаковах файла в архив с парола и го хвърлих отново на VT. И, о, чудо! Вече само 2 от 56:

вашата

Изглеждаше много забележително кой точно остана в списъка. Малко известна българска и френска антивирусна програма. Правим ли изводи?

Между другото, докато пишех публикацията, все още имаше 38 откривания на незащитения с парола файл в момента на изпращане на публикацията.

Можете да помогнете и да прехвърлите средства за развитието на сайта

Коментари (32):

> Правим ли изводи? Ние го правим, но не тези, които сте имали предвид. Останалите две детекции са така наречените фалшиви положителни, фалшиви положителни резултати. Антивирусът не може да провери защитен с парола архив, без да знае паролата, така че не трябва да има никакви откривания. За някои антивирусни програми в настройките можете да зададете поведението при обработка на криптиран архив по време на сканиране: пропуснете или подканете потребителя за парола.

антивирусната може да получи имена на файлове от архива, ако го позволява. Защитен с парола exe src или com е много подозрителен. ?Gmail, например, не позволява качване на архиви, в които открива exe. Трябва или да преименувате .zip___ архива, или да поставите парола на архива със забрана за четене на имена на файлове в архива. Едва ли можете да изпратите на приятел изходния код на проекта от визуалното студио.

exe в източника.

Имате източници в exe.

там в папката debug exe обикновенолъжи. От него те изпробват помощната програма веднага щом я получат.

Отличен вектор за социална мрежа за Windows Devs!

Точно така: шифрованите имена на файлове не се виждат без парола.

Подозрително, не подозрително, но той не може да разбере какво има в тези файлове, така че не може да има засичане на тази база.

Да, но е по-добре да внимаваме, ако правим услуга за много хора

поне на мястото на Google бих направил абсолютно същото

Останалите две детекции са така наречените фалшиви положителни, фалшиви положителни резултати. Антивирусът не може да провери защитен с парола архив, без да знае паролата, така че не трябва да има никакви откривания. Тук съм напълно съгласен, само че е странно, че имената W32/Cryakl.ABV!tr и Trojan.Win32.Injector.dxiaae са дадени от тези две антивируси точно както при първия тест. Значи и първия път беше фалшив положителен? И как се вписа толкова добре? Или по принцип има фалшиви антивируси? Не се сещам за повече обяснения.

А защо не им подхлъзнете архива си с някой безвреден ехе-шник?

Хвърлих защитен с парола архив (7zip) с безвреден exe файл за проверка - не бяха намерени фалшиви положителни резултати

Пада със същото име на откриването, буква по буква, както при незащитен с парола файл? Нещо имам съмнения. хм Нека бъдем радикални. Сега ще пусна запитване до NANO и ако отговорят, ще публикувам отговора им тук. Добре ли е?

Вече е обсъждано в следващата тема.

Обсъдихме защо името на детектора съвпада, т.е. как се определя вида на вируса в криптиран архив. Е, също е интересно да прочетете отговора.

Моята антивирусна хваща мишки.

улавя

1. Нито една антивирусна програма не може да проверява криптирани архиви, ако са били криптирани от нормални продукти. Доколкото си спомням, единственото изключение епродукти от Kaspersky Lab, но те също трябва да имат парола за декриптиране/преопаковане. 2. Антивирусът може да дешифрира файлове, ако нападателите са направили грешки. Примери за декриптиране на файлове след ransomware — налични 3. Антивирусната програма не трябва да дешифрира получения файл, за да определи наличието на злонамерен файл. Такава технология е налична в Dr.Web. Благодарение на него можете да намерите известни модели (или определени от евристика) в криптирани / опаковани файлове (не архиви!). Затруднява създаването на неоткриваеми проби от злонамерени файлове (увеличава времето за създаване на неоткриваем файл), намалява броя на записите в базата данни - няма нужда да добавяте нови записи за всеки преопакован файл. Изключително важна характеристика в момента

2015 ITnan.ru Дизайн от Styleshout.