web-dev-qa-db-ja.com

Mpressでパックされたファイルに対してVirusTotalが「ファイルタイプを処理できない」のはなぜですか?

AutoHotkeyスクリプトに ahk2exe を使用してパックし、 MPress を使用して、VirusTotalオンラインスキャンで13ヒットを取得し、zipした結果を取得しました。 sameスクリプトにsameahk2exeなしMPressを実行し、圧縮された結果で6ヒットを取得しました。どちらの場合も、Zipは同じ7zデフォルトで実行されました。

最初のスキャンで赤いフラグに関連付けられた一部のウイルスエージェントが、2番目のレポートで「ファイルタイプを処理できません」として表示されるようになりました。どうしてこれなの?

antivirusfile-types
2
Laurie Stearn

ウイルス対策製品がMPress自体の使用をファイルが悪意のある兆候として検出している可能性があります。

実行可能なパッカーは、いくつかの点で「通常の」プログラムとは通常大きく異なるファイルを作成します。

  • ヘッダーは最小限に抑えられ、MPressサイトはデバッグディレクトリや再配置などの標準機能を削除すると主張しています。
  • 実行可能セクションには、高いエントロピー(圧縮のため)があり、通常、それらの間に最小限のスペースがあります(通常のPEには多くのnullバイトがあります)。
  • 多くの場合、コードセクションには読み取り/書き込み/実行権限があり、コードは書き込み権限でメモリ内に作成されてから実行されます。これにより、コードを所定の場所に解凍できますが、これは珍しいことです(JITコンパイラーのような特別な場合を除きます)。

ウイルス対策プログラムがこれらのファイルを検出する可能性があるその他の理由は次のとおりです。

  • これらはマルウェアによって使用されることが多く、ベンダーが誤検知を心配するのに十分に使用されることはめったにありません(ユーザーは例外を追加できます)。
  • ストレージサイズとダウンロード速度がほとんどのプログラムの要件を超えているため、今日パッカーを使用する説得力のある理由はほとんどありません。

ファイルをスキャンできない理由については、これはベンダー固有です。おそらくZipファイルについて何かが異常であり、エンジンは問題を回避するためにスキャンを拒否しています。ファイルのハッシュを指定すると、さらに比較することができる場合があります。

2
David

Virustotalはバックエンドでyaraを使用します。これは基本的に、マルウェアを検出するためのファイル内の検索パターンの正規表現実装です。あなたの問題は、おそらくその特定のスキャンで彼らの側に問題があるように見えます。それらに連絡して問題を解決してみることをお勧めします。

0
camp0