netx <nospam@gazeta.pl> napisał(a):
Tak sobie myślę że może antywirus bez rozpakowywania pliku może obliczyć
jego unikalną sygnaturę i porównać czy ma taką w bazie? Np. u mnie Norton
informuje mnie że dany plik został uruchomiony przez iluś tam użytkowników
a Norton nadał mu ocenę "Zaufany", "Dobry", albo czasem przeciwnie. Z tym
że nie zwróciłem uwagi czy to dotyczy tylko plików z rozszerzeniem .exe i
.dll czy innych też. Jak Ci się chce to możesz wrzucić z jeden taki
"niewyodrębniony" plik gdzieś na Internet to go pobiorę i powiem co Norton
o nim sądzi.
Tak, antywirus oczywiście sprawdza sygnatury, to podstawowa metoda szukania
wirusów. Jeśli zostanie stwierdzone, że plik jest wirusem lub jest używany
przez wirusa, to jego sygnatura trafia do bazy antywirusa i mozna go potem
wykryć.
Reputacja pliku to mechanizm pomocniczy.
Kolejne moje rozważanie to że taki plik musi być w pewnym momencie
odszyforwany/rozpakowany i wtedy (np. po załadowaniu go rozpakowanego do
pamięci RAM) antywirus może "w locie" sprawdzić w RAM czy nie rozpoznaje
jakiegoś wirusa. Jednak pytanie czy antywirus może skanować pamięć RAM w
miejscu gdzie jest jakiś inny program (nie dane).
Może i robi to. Dlatego jest tutaj szansa zablokowania wirusa. Problem z
zaszyfrowanym wirusem najbardziej widoczny jest na serwerach pocztowych.
Użytkownik dostaje wtedy wiadomość, że załącznik nie mógł zostać
przeskanowany.
To tylko takie moje rozważania, z punktu widzenia użytkownika systemu
Windows z antywirusem.
Rozważania jak najbardziej trafne.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|