Перейти к содержимому


Фото
- - - - -

Не проверяются большие .iso файлы

Автор R00tico , июн 18 2016 14:28

  • Please log in to reply
6 ответов в этой теме

#1 R00tico

R00tico

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 18 Июнь 2016 - 14:28

День Добрый!

Стоит Kubuntu 16.04 32 bit и DrWEB 11 из репозитория.

 

При проверке скачанного образа altlinux-7.0.5-kdesktop-x86_64-ru-install-dvd5.iso (4.4 ГБ) выдает ошибку - "Файл слишком большой".

Тип проверки: Выборочная проверка
Инициатор: rootico
Начата: 18.06.16 14:20
Закончена: 18.06.16 14:20
Затрачено времени: 00:00:00
Состояние: завершена

Угроз: 0
Обезврежено: 0
Пропущено: 1
Всего проверено: 1


Пропущенные объекты: 
/home/rootico/Рабочий стол/Загрузки/altlinux-7.0.5-kdesktop-x86_64-ru-install-dvd5.iso - Файл слишком большой.

При проверке записанного образа некоторые файлы пропускаются - если с запароленными архивами все понятно, то что означает "Достигнут предел коэффициента сжатия"?

Спасибо!

Тип проверки: Выборочная проверка
Инициатор: rootico
Начата: 18.06.16 13:17
Закончена: 18.06.16 14:04
Затрачено времени: 00:47:11
Состояние: завершена

Угроз: 0
Обезврежено: 0
Пропущено: 13
Всего проверено: 3507


Пропущенные объекты: 
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/boost-devel-headers-1.53.0-alt3.noarch.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/boost-devel-headers-1.53.0-alt3.noarch.rpm/boost-devel-headers-1.53.0-alt3 - архив: Достигнут предел коэффициента сжатия.
          boost-devel-headers-1.53.0-alt3/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/include/boost/phoenix/core/detail/preprocessed/function_eval_20.hpp - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/foomatic-db-4.0.20140703-alt1.noarch.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/foomatic-db-4.0.20140703-alt1.noarch.rpm/foomatic-db-4.0.20140703-alt1 - архив: Достигнут предел коэффициента сжатия.
          foomatic-db-4.0.20140703-alt1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/share/foomatic/db/source/PPD/Gestetner/PS/Gestetner-Pro_1356EX_PS.ppd - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/firmware-linux-20141222-alt1.noarch.rpm - архив: Защищено паролем.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/firmware-linux-20141222-alt1.noarch.rpm/firmware-linux-20141222-alt1 - архив: Защищено паролем.
          firmware-linux-20141222-alt1/0.file - архив: Защищено паролем.
               0.file/./lib/firmware/vxge/X3fw-pxe.ncf - архив: Защищено паролем.
                    X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
                    X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
                    X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
                    X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
                    X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
                    X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
               0.file/./lib/firmware/vxge/X3fw.ncf - архив: Защищено паролем.
                    X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
                    X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
                    X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
                    X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
                    X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
                    X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/gimp-2.8.14-alt0.M70P.1.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/gimp-2.8.14-alt0.M70P.1.x86_64.rpm/gimp-2.8.14-alt0.M70P.1 - архив: Достигнут предел коэффициента сжатия.
          gimp-2.8.14-alt0.M70P.1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/share/locale/zh_HK/LC_MESSAGES/gimp20-std-plug-ins.mo - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/glibc-locales-2.17-alt8.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/glibc-locales-2.17-alt8.x86_64.rpm/glibc-locales-2.17-alt8 - архив: Достигнут предел коэффициента сжатия.
          glibc-locales-2.17-alt8/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/lib/locale/tg_TJ.utf8/LC_COLLATE - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/gutenprint-foomatic-5.2.9-alt1.noarch.rpm - архив: Ошибка чтения.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/gutenprint-foomatic-5.2.9-alt1.noarch.rpm/gutenprint-foomatic-5.2.9-alt1 - архив: Ошибка чтения.
          gutenprint-foomatic-5.2.9-alt1/0.file - архив: Ошибка чтения.
               0.file/./usr/share/foomatic/db/source/opt/gutenprint-ijs-simplified.5.2-stp_inkset.xml - Ошибка чтения.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/i586-libwine-1.7.42-alt0.M70P.1.i586.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/i586-libwine-1.7.42-alt0.M70P.1.i586.rpm/i586-libwine-1.7.42-alt0.M70P.1 - архив: Достигнут предел коэффициента сжатия.
          i586-libwine-1.7.42-alt0.M70P.1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/lib/wine/mlang.dll.so - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/inkscape-0.48.4-alt4.M70P.1.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/inkscape-0.48.4-alt4.M70P.1.x86_64.rpm/inkscape-0.48.4-alt4.M70P.1 - архив: Достигнут предел коэффициента сжатия.
          inkscape-0.48.4-alt4.M70P.1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/share/inkscape/tutorials/tutorial-tips.it.svg - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/kernel-image-std-def-3.14.41-alt1.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/kernel-image-std-def-3.14.41-alt1.x86_64.rpm/kernel-image-std-def-3.14.41-alt1 - архив: Достигнут предел коэффициента сжатия.
          kernel-image-std-def-3.14.41-alt1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./lib/modules/3.14.41-std-def-alt1/kernel/fs/ext2/ext2.ko - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/libgtk+2-locales-2.24.21-alt1.noarch.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/libgtk+2-locales-2.24.21-alt1.noarch.rpm/libgtk+2-locales-2.24.21-alt1 - архив: Достигнут предел коэффициента сжатия.
          libgtk+2-locales-2.24.21-alt1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/share/locale/zh_TW/LC_MESSAGES/gtk20-properties.mo - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/libwine-1.7.42-alt0.M70P.1.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/libwine-1.7.42-alt0.M70P.1.x86_64.rpm/libwine-1.7.42-alt0.M70P.1 - архив: Достигнут предел коэффициента сжатия.
          libwine-1.7.42-alt0.M70P.1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/lib64/wine/mapistub.dll.so - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/LibreOffice4-common-4.2-alt1.M70P.3.x86_64.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/LibreOffice4-common-4.2-alt1.M70P.3.x86_64.rpm/LibreOffice4-common-4.2-alt1.M70P.3 - архив: Достигнут предел коэффициента сжатия.
          LibreOffice4-common-4.2-alt1.M70P.3/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/lib64/LibreOffice4/share/gallery/sg36.sdg - Достигнут предел коэффициента сжатия.
/media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/qt4-doc-html-4.8.6-alt3.M70P.1.noarch.rpm - архив: Достигнут предел коэффициента сжатия.
     /media/rootico/ALT Linux 7.0.5 KDesktop  (Cen/ALTLinux/RPMS.main/qt4-doc-html-4.8.6-alt3.M70P.1.noarch.rpm/qt4-doc-html-4.8.6-alt3.M70P.1 - архив: Достигнут предел коэффициента сжатия.
          qt4-doc-html-4.8.6-alt3.M70P.1/0.file - архив: Достигнут предел коэффициента сжатия.
               0.file/./usr/share/doc/qt4/src/images/whatsnewanimatedtiles.png - Достигнут предел коэффициента сжатия.

#2 dbanschikov

dbanschikov

    Member

  • Dr.Web Staff
  • 186 Сообщений:

Отправлено 18 Июнь 2016 - 20:33

Просканируйте консольным сканером, задав повышенную максимальный степень сжатия:

drweb-ctl scan --MaxCompressionRatio 1337 path_to.iso

Из документации:

 

--MaxCompressionRatio <степень> – установить максимальную допустимую степень сжатия проверяемых объектов. Должна быть не менее 2. Значение по умолчанию: 3000

 


Сообщение было изменено dbanschikov: 18 Июнь 2016 - 20:34

#3 pdn_mail

pdn_mail

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 19 Сентябрь 2017 - 13:12

Добрый день!

А зачем вообще это придумано? Не будет ли специально создан вирусный файл использующий это поведение?

Как вообще ЭТО отключить и заставить проверять ВСЕ файлы? В частности интересует linux версия сканера.


#4 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 852 Сообщений:

Отправлено 19 Сентябрь 2017 - 13:35

Так уже придуманы. zip-бомбы, из-за которых ограничение и существует.


Семь раз отрежь – один раз проверь

#5 pdn_mail

pdn_mail

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 20 Сентябрь 2017 - 05:15

Я согласен, что ограничение должно быть, из-за zip-бомб, но возникает дыра, несложно вписать в тело вируса нули и раздуть файл для обхода ограничения по степени сжатия.

Думаю, что алгоритм обхода zip-бомб, реализован неэффективно, что мешает получить информацию из архива о размере файла в архиве и сравнить со свободным местом на диске, и уже принять решение? Полагаю ничто.

Само наличие этих параметров - вред. Тупо принимать решение по коэффициенту сжатия без учёта свободного места на диске - вред, с образованием дыры. Вдобавок не вижу способа в настройках сканера отключить эту проверку навсегда, чтобы прикрыть эту дыру (да, возникает другая, из-за неэффективного алгоритма проверки, но мне zip-бомбы не так страшны, как то, что может пролезть через эту уязвимость). Из-за этого пользоваться антивирусом мягко говоря боязно и неудобно.

Сделайте хоть что-нибудь, чтобы этих параметров не было.


#6 pdn_mail

pdn_mail

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 20 Сентябрь 2017 - 05:20

З.Ы. Можно ещё такие файлы, с большим коэффициентом сжатия, откладывать на проверку в последнюю очередь (в алгоритме проверки составлять список), и потом проверять их более тщательно с проверкой на свободное место.


#7 roga_i_kopita

roga_i_kopita

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 24 Апрель 2022 - 16:03

 

Просканируйте консольным сканером, задав повышенную максимальный степень сжатия:

drweb-ctl scan --MaxCompressionRatio 1337 path_to.iso

Из документации:

 

--MaxCompressionRatio <степень> – установить максимальную допустимую степень сжатия проверяемых объектов. Должна быть не менее 2. Значение по умолчанию: 3000

 

 

 

sudo drweb-ctl scan --MaxCompressionRatio 1337 /usr/share/fwupd/uefi-capsule-ux.tar.xz
/usr/share/fwupd/uefi-capsule-ux.tar.xz//xz//fwupd-id-5120-2880.bmp - Compression ratio limit reached
Scanned objects: 1, scan errors: 1, threats found: 0, threats neutralized: 0.
Scanned 1541.76 KB in 7.80 s with speed 197.69 KB/s.

А можно вообще считать такие объекты (полученные из официальных репозиториев Ubuntu) безопасными? Что с ними рекомендательно сделать, раз даже сканирование с повышенной максимальной степенью сжатия завершается с ошибкой? Вот в данном случае это, видимо, образ UEFI (прошивка - firmware).

 

Также и сканирование некоторых других файлов Ubuntu завершается с ошибкой из-за ошибок чтения и, якобы, установленного пароля:

Пропущенные объекты: 
/run/snapd/ns/firefox.mnt - Ошибка чтения.
/run/snapd/ns/snap-store.mnt - Ошибка чтения.
/usr/lib/firmware/vxge/X3fw-pxe.ncf - архив: Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1:X3_101115_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw-pxe.ncf/T1A:X3_101115_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
/usr/lib/firmware/vxge/X3fw.ncf - архив: Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1:X3_101025_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_rmt_cmd_line.txt - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_flash0.bin - Защищено паролем.
     /usr/lib/firmware/vxge/X3fw.ncf/T1A:X3_101025_1_8_1_expROM_FW_uni_template_eeprom0.bin - Защищено паролем.

С ними что делать? Можно ли их добавлять в исключения сканера? Ubuntu 21.10.

sudo uname -a
Linux host 5.13.0-40-generic #45-Ubuntu SMP Tue Mar 29 14:48:14 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Ubuntu 21.10


Назад к Dr.Web для Unix

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Dr.Web для Unix
  4. Privacy Policy
  5. Terms & Rules ·