Но таких становится всё больше. Разве нет?Во-первых, далеко не все MS файлы подписаны.
Это легко решается специальной записью в базе. Если вам стало известно, что подпись на каком-то файле скопрометирована, то вы через спец. запись отключаете её проверку.Во-вторых, подпись может быть в любой момент скомпромитирована, поэтому мы не можем полагаться на нее, как на источник истинной информации о файле.
Алгоритм такой:
- нашли вирус
- если файл подписан MS, то проверили подпись
- если подпись корректная, то не лечим/удаляем
- если в базе для этого файла и/или сертификата прописано исключение, то всё-таки лечим/удаляем
И всё. Вы защищены от ложняков на explorer.exe. При этом скорость проверки не пострадала, а скорость лечения пострадала незначительно.
Возможно я упускаю какой-то момент и такой механизм не будет работать?
З.Ы. Вопрос для подкаста - расскажите, почему не хотите так делать
Сообщение было изменено HHH: 03 Июнь 2011 - 18:57