web-dev-qa-db-ja.com

マルウェアをスキャンするためにファイルをスキャンするプラットフォームは重要ですか?

オペレーティングシステムが異なれば、使用するファイルタイプとファイルシステムも異なります。実行されているシステムと、どのような種類のマルウェアが探しているかをウイルススキャンに反映させますか?ファイルのアーカイブ方法が異なる可能性があるため、私は尋ねます。たとえば、Androidのapkはアーカイブにあるので、Windows Defender(Windowsで実行されている)のようなプログラムは内容を調べる方法を知っていますか?

単純なケースでは、AVに問題はありません。たとえば、OS Xで実行されているAVや.exeとして到着するマルウェアは危険信号を発しますが、Windowsの感染したRPMはどうでしょうか。 WindowsはRPMの処理方法すら知らないので、そのようなファイルをLinuxマシンに転送しないことを期待してスキャンすることに意味があるのでしょうか?

編集:アーカイブ内をスキャンするオプションを備えた一部のAVを見たので、これはAVがアーカイブを正しく開く方法を知っている必要があることを意味しますか? AVが処理方法を知らないアーカイブ内にウイルスが潜んでいる可能性はありますか?アーカイブがパスワードで保護されている(つまり暗号化されている)場合、AVにできることは何ですか?

malwareoperating-systemsantivirusinfection-vector
8
Celeritas

あなたの質問は多くの異なる状況に適用される可能性があるため、明確に答えることは困難です。理想的には、質問をより具体的にする必要があります。

原則として、ファイルスキャンシグネチャは、展開されたパッケージが何であっても対象にします。したがって、RPMかEXEか、それが何であるかは関係ありません。マルウェアが配置されている形式が何であれ、スキャンの対象になります。

1
Tyler Durden

つまり、暗号化されていないアーカイブを含め、ほとんどの場合それは問題ではありません。マルウェアディテクタは、基本的にデータのチャンクであるシグネチャを狙撃します。プラットフォームが何らかの形でデータを不正な形式にしない限り、問題はありません。

つまり、理論的には、AVがデータを正しく解釈しないと、エンディアンに問題が発生する可能性があります。しかし、ほとんどの場合、AV(またはプリプロセッサ)はプラットフォームに対応しており、必要に応じてエンディアン変換を行います。

それでも、あなたの質問isはかなり広範で、もう少し仕様を使用できます。

1
mikky

実行されているシステムと、どのような種類のマルウェアが探しているかをウイルススキャンに反映させますか?

エキゾチックを含めない限りは。問題は、製品が意図された環境の観点からターゲットを効果的にスキャンするエンジンをサポートするかどうかということになります。

私たちがスキャンするすべてのマルウェアは、ターゲット環境と互換性のある構造を示しています。互換性があるということは、良いことでも悪いことでもありません。これは、スキャナー、アクセサーなどのオブジェクトに取得可能な機能があることを意味します以外認識できない目的(つまり、適切に暗号化されたコンテナーが意図するもの)がない不透明なオブジェクトとして存在するあります)。

そうすると、一部の環境に機能があるため、それらの機能を検出できます。決定は、保護製品がその機能を心配するかどうかに大きく依存します。

Windows Defenderはどのように...を知っていますか?

はい、今、または努力して。上記を参照。

...そのようなファイルをスキャンすることに意味があります...

はい。 オペレーティングシステム全体のマルウェアの検出

...これは、AVが認識しなければならないことを意味します...

はい、ほとんどの場合、カスタム、サンドボックス化、または強化されたエクストラクタで構成されています。

...隠す...?

はい。それがゲームです。

...暗号化;何かできる?

確かですが、多くの場合はそうではありません。理由は Time Complexity です。

しかし、私は本当にイエスが欲しい!

はい。私たちは、ホストが完全で挑戦的な、普遍的なコントロールを持っていると仮定してきました。 「はい」を取得するには、異常の候補(既存のプロパティのおかげで)が原因ホストから スキャンの制御を失う でなければなりません。幸運を。

1
ǝɲǝɲbρɯͽ

この質問は非常に広範であることに同意しますが、以下を提供できます。

  1. 一部のAVエンジンはスキャンをショートカットし、そのプラットフォームで「実行可能」と見なされる(または実行可能に名前が変更された)スキャンのみをスキャンします。このインスタンスでは、それが既知の実行可能ファイル拡張子でない限り、おそらく見落とされます。

  2. APKは単なるZipファイルであり、一部のウイルス対策製品はファイル拡張子が何であるかを無視し、APKを検出し(特別なファイルパスレイアウトのZipファイル)、とにかくZipファイルを読み取ることができます。 Aviraはこれを「スマート拡張機能」と呼びます( https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/179

  3. これは、AVエンジンのウイルスシグネチャに大きく依存します。WindowsDefenderに、Windowsプラットフォームに影響を与えるファイル以外のシグネチャがない場合、他のプラットフォームからファイルをスキャンしても意味がありません。 Clam-AVは一部のWindowsウイルスを検出できます(特ににシグネチャがあるので)。

  4. Windows Defenderについて具体的に説明しました:

    Windows 8のWindows DefenderはMicrosoft Security Essentialsに似ており、同じウイルス定義を使用します。

    https://en.wikipedia.org/wiki/Windows_Defender

    しかし、それを超えて、彼らが独自の定義を行っているのか、それともWindowsのみのシグネチャであるかを知るために他の人にサブライセンスを付与しているかどうかはわかりませんでした。

  5. AVの有効性について学ぶのに適したサイトはav-comparatives.orgです。彼らはさまざまなAV製品のすべてと彼らが捕獲したウイルスの数をリストしています。

  6. アーカイブがパスワードで保護されている場合はスキャンできません。開いているアーカイブである場合はパスワードを取得できます。ただし、マルウェアがパスワードで保護されたアーカイブを埋め込む可能性はありますが、マルウェアのパッカー自体が検出されるはずです。

  7. とにかく、署名の制限により、AVはヒューリスティックに依存する傾向があります。ヒューリスティック分析はプラットフォーム固有です。したがって、設計されたプラットフォームにAVを使用することには明らかな利点があります。

  8. ほとんどのAV製品は、実行時に分析するために以前に表示されなかったファイルをレポートする機能を提供します。したがって、多くのAPKがAviraのクラウドベースのルックアップで作成されたのではないかと思います。

  9. WindowsがRPMファイルをネイティブにサポートしていないのは本当ですが、それはアンチウイルスベンダー(または他のプログラム)がそれらをサポートできないことを意味するわけではありません。 AVベンダーに問い合わせて、サポートしているファイルタイプを確認してください。たとえば、Zipプログラム7-ZipはRPM解凍サポートを備えているため、Windowsはプログラムがサポートできないファイルタイプをネイティブに認識していないため、想定しないでください。

1
Matthew1471