我需要检查和提取来自各种存储设备的文件,并始终将它们放在隔离站中。但有时我只需要复制并存储原始图像格式的内容,例如 .DD 或 .eo1
我知道如果我从硬盘访问逻辑文件系统,我就能检测到病毒。但如果我想放弃这一步,只保留原始图像,那么防病毒程序会检测出原始图像中的病毒吗?谢谢。
答案1
这可能取决于病毒和病毒扫描程序,但一般来说不是。
当然,在(我认为)不太可能发生的情况下它会起作用,它会非常慢 - 它需要扫描整个磁盘,包括已删除的文件和未使用的空间,而不知道它正在寻找的布局,甚至不知道偏移量。
很多病毒都是通过文件中的签名(相对于文件的开始/结束)找到的 - 如果没有这些信息,病毒就无法工作。此外,我认为磁盘碎片会导致进一步的问题,因为有效载荷可能会被分解并分散在磁盘的不同部分。
答案2
如果您的 AV 软件知道这一点 - 可能。但是考虑到大多数磁盘映像格式“至少”是某个稀疏文件或压缩文件内的文件系统的按位副本,因此不太可能。对我来说,明智的做法是以某种方式安装,不允许执行文件(Linux 允许您在安装点上执行此操作,我不确定如何在 Windows 上执行此操作 - 但无论如何这都需要额外的软件)和扫描。
幸运的是,这相对容易测试 - 抛出EICAR 测试文件将其放入图片中,然后用你最喜欢的防病毒软件进行扫描。很有可能它检测不到,但这是一种完全安全的方式来测试你的防病毒软件是否能在这种特定情况下工作