Skanowanie antywirusowe nieznanych typów archiwów


(Spectatorx) #1

Od jakiegoś czasu zastanawia mnie jak możliwe jest to, że programy antywirusowe przeglądają i skanują zawartość nieznanych typów archiwów do których nawet nie ma programów pozwalających na ich otwieranie. Ktoś może mi opisać jak to działa?


(dragonn) #2

Hmmm.... a jakie to typy archiwów? Jeżeli istnieją to znaczy że istniej również coś co je otworzy, bo co za sens byłby w robieniu archiwów których nic nie otworzy :stuck_out_tongue: ? A sam antywirus może również szukać charakterystycznego ciągu "znaków" dla danego wirusa w dowolnym rodzaju pliku. Mnie avast kiedyś wykrył wirusa w obrazie dysku twardego Virtualbox-a (Windowsa XP).


(Spectatorx) #3

Przykładowo różne formaty archiwów w których przechowywane są pliki danej gry.

Seria assassin's creed: .forge

Battlefield bad company 2: .fbrb

itp.


(scripter1) #4

Nie wiem jak to jest w przypadku tych wspomnianych formatów ale często się stosuje kompresję zip mimo że rozszerzenie pliku jest inne, łatwo to sprawdzić próbując otworzyć dany plik w menedżerze obsługującym tą kompresię takim jak WinRAR czy 7Zip.

Z kolei pliki exe często są wewnętrznie kompresowane metodą opisywaną jako PE Compression.

A programy antywirusowe rozpoznają format pliku po jego identyfikatorze zapisanym w pliku (w linuxie jest tak domyślnie) zamiast po rozszerzeniu pliku.