Вопросы
Укроп

Как определить точно, есть ли в файле вирусы или нет [Закрыто]

Насколько я знаю, Virustotal ругается на старые методы сжатия, от чего могут появиться ненастоящие отметки о вирусе. Дефендеру не доверяю, у него никогда вирусов не бывает при обнаружении. Онлайн dr. web не ругается тоже. Собственно вопрос этот к озвучке bioshock infinite, т.к. у второй части 1с озвучки с плейграунда точно был троян, от чего пришлось обходиться текстом.

0
18 комментариев
Популярные
По порядку
Написать комментарий...
Мутный корабль

Вирустотал никогда и ни на что не ругается, он лишь предоставляет результаты сканирования, полученные от множества сторонних антивирусов. Собственно, смотри какие именно антивирусы ругаются, и оценивай вероятность false-positive срабатывания.
Нет никакого смысла сканировать этими же антивирями отдельно, если уже просканировал с помощью вирустотала - результат для конкретного антивируса не изменится.

Ответить
11
Развернуть ветку
Мутный корабль

Если прям боишься, что аж кушать не можешь - запускай целевой файл в песочнице, например sandboxie, и тупо смотри какие файлы внутри песочницы этот экзешник за собой оставляет. Большинство вирусов слишком тупы, чтобы задетектить песочницу, и даже чтобы не наследить в файловой системе.

Ответить
9
Развернуть ветку
Укроп

А как можно отследить, оставит он что-нибудь или нет, или виртуалка сама оповестит что он творит? И сейчас как-то официальный майнкрафт прогнал, там тоже ноунейм ругается один. 

Ответить
0
Развернуть ветку
Михаил Быстрянцев

А как можно отследить, оставит он что-нибудь или нет

Ответить
4
Развернуть ветку
Мутный корабль

Посмотреть в папке песочницы. Сэндбокси также позволяет посмотреть все запущенные в ней процессы. То есть, если процесс, который ты запустил, понаплодит левых процессов - это можно будет увидеть.

Ответить
3
Развернуть ветку
Михаил Быстрянцев

вероятность false-positive срабатывания
Если издатель не в белом списке или подписи нет вообще, то она крайне высока.

У меня Defender периодически триггерился даже на свежесобранные прототипы UI на Qt.

Ответить
0
Развернуть ветку
Мутный корабль

Ну щас дефендер вообще блочит для запуска неподписанные файлы. Разрешить запуск нетрудно, правда, но для типичного пользователя не вполне очевидно как.

Ответить
0
Развернуть ветку
Михаил Быстрянцев

Не, я не про SmartScreen (он обычно вылезает при скачивании файла из сети), а про реальный детект.

Вообще Defender постоянно что попало определял как Trojan:Win32/Wacatac.B!ml, и судя по гуглу это распространённая проблема.

Ответить
0
Развернуть ветку
Leon Jan

Сделать PCR тест

Ответить
5
Развернуть ветку
Мутный корабль

Бля, я всерьёз полез гуглить что за PCR тест такой в айтишных терминах
Затралил

Ответить
7
Развернуть ветку
Leon Jan

Хахаха, ну штош, забавно вышло ) 

Ответить
0
Развернуть ветку
Мутный корабль

Дефендер сейчас один из лучших антивирусов

Ответить
4
Развернуть ветку
Укроп

в общем то да, помню он единственный какую-то штуку отследил, но какой-то оракл с флешки определить не смог при прямом сканировании один раз.

Ответить
0
Развернуть ветку
Мутный корабль

Может Дефендер был не обновлён, хз. Просто что круто он без подписок сразу из коробки выдаёт результат не хуже прожорливого каспера или платного нод

Ответить
1
Развернуть ветку
Укроп

теперь буду верить только дефендеру и нескольким популярным антивирусникам. Дело года 3 назад было, наверное, но сейчас они его знатно раскачали. Там, кстати, ничего не было (либо не удалось отследить о_0), хотя аж в 3 файлах разные ноунеймы что-то обнаружили. 

Ответить
0
Развернуть ветку
Мутный корабль

Запустить 

Ответить
0
Развернуть ветку
Укроп

Если только через песочницу) Только хз, как отследить, пройдёт троян или нет.

Ответить
0
Развернуть ветку
Мутный корабль

Наверное KVRT, как вариант.

Ответить
0
Развернуть ветку
Читать все 18 комментариев
{"hash":"600601b8","params":{"id":"dtfru","service":1,"title":"\u041f\u0440\u044f\u043c\u043e\u0439 \u044d\u0444\u0438\u0440","isLegacy":false}}