Member
Отправлено 02 Апрель 2013 - 18:58
Привет вам.
Есть ли нынче способы проверить крупный файл? Онлайн ограничения - это понятно, но принудительно локально возможно?
Сегодня прогнал товарища через liveusb - помимо пойманной заразы, в каталоге win\system32 лежит MRT.exe более 50 метров, ничем не проверить. Я давно не лечил ничего, системные запчасти уже не знаю на глаз, но он свежий, и не нравится мне 
Guru
Отправлено 02 Апрель 2013 - 19:11
MRT.exe - Средство удаления вредоносных программ для ОС Microsoft® Windows® (KB890830) (malicious removal tool).
Сообщение было изменено lazarev.ee: 02 Апрель 2013 - 19:16
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 02 Апрель 2013 - 19:13
Привет вам.
Есть ли нынче способы проверить крупный файл? Онлайн ограничения - это понятно, но принудительно локально возможно?
Сегодня прогнал товарища через liveusb - помимо пойманной заразы, в каталоге win\system32 лежит MRT.exe более 50 метров, ничем не проверить. Я давно не лечил ничего, системные запчасти уже не знаю на глаз, но он свежий, и не нравится мне
Может такой
13-Mar-13 06:09 PM 72,013,344 MRT.exe
Если да то, то это антивирус мелкомягких
Guru
Отправлено 02 Апрель 2013 - 19:21
Вообще вредоносы большими не бывают. Ну и погуглить можно, свойства файла посмотреть, проверить цифровые подписи sigverif.exe и verifier.exe из windows\system32.
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 02 Апрель 2013 - 19:27
Вообще вредоносы большими не бывают. Ну и погуглить можно, свойства файла посмотреть, проверить цифровые подписи sigverif.exe и verifier.exe из windows\system32.
А как добавка к телу exe?
тело exe растягивается и можно добавить код и сделать переход в эту добавку.
Guru
Отправлено 02 Апрель 2013 - 19:35
А как добавка к телу exe?
тело exe растягивается и можно добавить код и сделать переход в эту добавку.
В смысле как файловый вирус ? Да лучше иметь под рукой портативные или онлайн сканеры других вендоров - всё не отправишь на проверку.
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 02 Апрель 2013 - 20:31
MRT.exe - Средство удаления вредоносных программ для ОС Microsoft® Windows® (KB890830) (malicious removal tool).
Шьёрт! Точно.
Однако вопрос теоретически остаётся - сканер liveusb (linux) при распаковке MRT говорит "слишком большой" - как заставить съесть?
А как добавка к телу exe?
тело exe растягивается и можно добавить код и сделать переход в эту добавку.
В смысле как файловый вирус ? Да лучше иметь под рукой портативные или онлайн сканеры других вендоров - всё не отправишь на проверку.
Другие вендоры проверяют без ограничения размера? Мне смутно казалось, что тот же CureIT проверяет большие...
Больших вредоносов - да, обычно не бывает. А если исключение? Бяка решил спрятаться так здорово?
Сообщение было изменено Sarabanda: 02 Апрель 2013 - 20:32
Guru
Отправлено 02 Апрель 2013 - 20:41
Другие вендоры проверяют без ограничения размера? Мне смутно казалось, что тот же CureIT проверяет большие...
Больших вредоносов - да, обычно не бывает. А если исключение? Бяка решил спрятаться так здорово?
Просто в названии некоторых утилит есть online ,на самом деле они устанавливаются на ПК. CureIt проверят и больше 50 мб. это же сканер..
Ну если в образе CD-DVD есть бяка, только такой вариант.
Конкретнее бы..
Однако вопрос теоретически остаётся - сканер liveusb (linux) при распаковке MRT говорит "слишком большой" - как заставить съесть?
Что то не верится. Логи бы посмотреть. Большие.. это файл подкачки например 1-3 Гб.
Сиюминутное Ригпа бессущностно и ясно.
Guru
Отправлено 02 Апрель 2013 - 20:43
Больших вредоносов - да, обычно не бывает. А если исключение? Бяка решил спрятаться так здорово?
Что бы заразить большой файл - его ещё надо открыть, а это уже слишком заметно для системы и защитного ПО, да и для пользователя..
Сиюминутное Ригпа бессущностно и ясно.
Guru
Отправлено 02 Апрель 2013 - 23:57
LiveCD действительно не может просканировать MRT.EXE - при распаковке может быть и в правду большой..
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 03 Апрель 2013 - 00:13
Что бы заразить большой файл - его ещё надо открыть, а это уже слишком заметно для системы и защитного ПО, да и для пользователя..
Это на старой-то, замусоренной, сильно тормозящей неизвестно отчего системе, где давно истёк антивирь - заметно? 
Member
Отправлено 03 Апрель 2013 - 00:17
Что то не верится. Логи бы посмотреть. Большие.. это файл подкачки например 1-3 Гб.
Я согласен, но...
LiveCD действительно не может просканировать MRT.EXE - при распаковке может быть и в правду большой..
Вряд ли он в гигабайты распаковывается, и там подкачка 512 Мб при старте и 2 Гб RAM - вот чего сканеру не хватает?
Под виндой MRT сканируется быстро и без вопросов.
Сообщение было изменено Sarabanda: 03 Апрель 2013 - 00:18
Advanced Member
Отправлено 03 Апрель 2013 - 01:33
Не говорите ерунды.Что бы заразить большой файл - его ещё надо открыть, а это уже слишком заметно для системы и защитного ПО, да и для пользователя..Больших вредоносов - да, обычно не бывает. А если исключение? Бяка решил спрятаться так здорово?
Guru
Отправлено 03 Апрель 2013 - 13:41
Открыть файл - это вообще мгновенно. Сделать seek в конец - тоже.
Чтобы "заразить", может быть достаточно дописать в конец или в начало.
Может и так, но файл может оказаться испорчен и цель (заражение для размножения или др. вредоносности) не будет достигнута.
Да и где гарантия запуска огромных файлов - в основном это ведь архивы, видео, образы... гораздо проще заразить или подменить часто запускаемые файлы, а они не большого размера, в расчёте на скорый запуск и получение фидбэка...
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 04 Апрель 2013 - 19:16
Открыть файл - это вообще мгновенно. Сделать seek в конец - тоже.
Чтобы "заразить", может быть достаточно дописать в конец или в начало.
Может и так, но файл может оказаться испорчен и цель (заражение для размножения или др. вредоносности) не будет достигнута.
Да и где гарантия запуска огромных файлов - в основном это ведь архивы, видео, образы... гораздо проще заразить или подменить часто запускаемые файлы, а они не большого размера, в расчёте на скорый запуск и получение фидбэка...
Я бы не пытался прогнозировать логику заражения в данном случае - это всё слабая теория.
Наша задача защититься от любого варианта, а не от наиболее вероятного. Тем более, что при защите определённых вероятностных направлений автоматом повышается вероятность использования оставшихся "маловероятных" путей.
Guru
Отправлено 05 Апрель 2013 - 20:00
Большие файлы - это как правило много маленьких Ответьте на вопрос - Почему Доктор Веб не лечит файлы в архиве ? (и вы многое поймёте 
)
Наша задача защититься от любого варианта
От разных вариантов атак - разные варианты защиты и не только антивирусные . Например архивация, шифрование, родительский контроль (ограничение доступа).
Сиюминутное Ригпа бессущностно и ясно.
Newbie
Отправлено 18 Апрель 2013 - 17:28
Все-таки хотелось бы получить ответ от разработчиков - это нормально, что сканер с drweb livecd не может проверить файл в 50-100 мб ?
Newbie
Отправлено 18 Апрель 2013 - 17:31
LiveCD действительно не может просканировать MRT.EXE - при распаковке может быть и в правду большой..
Вряд ли он в гигабайты распаковывается, и там подкачка 512 Мб при старте и 2 Гб RAM - вот чего сканеру не хватает?
Под виндой MRT сканируется быстро и без вопросов.
Sarabanda, lazarev.ee
пишите баг, раз здесь не отвечают.
Сообщение было изменено userr: 18 Апрель 2013 - 17:31
Member
Отправлено 18 Апрель 2013 - 18:54
Все-таки хотелось бы получить ответ от разработчиков - это нормально, что сканер с drweb livecd не может проверить файл в 50-100 мб ?
В общем случае нет. А что конкретно в данном происходит, лучше спросить у суппорта.
Guru
Отправлено 18 Апрель 2013 - 19:22
Все-таки хотелось бы получить ответ от разработчиков - это нормально, что сканер с drweb livecd не может проверить файл в 50-100 мб ?
Отправил баг репорт через LiveCD. Вот в терминале распаковывает mrt.exe ,но что то не могу лог отыскать.
Сиюминутное Ригпа бессущностно и ясно.
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
