我想知道扫描 .zip 文件是否安全,并根据 AV 报告决定如何处理它。具体来说:如果我有一个 .zip 文件,我使用好的防病毒软件运行扫描,没有报告威胁,这可以放心吗?如果我知道 .zip 文件只包含非 exe 文件(例如 mp3 和 mp4),我解压 .zip 文件,然后单独扫描每个文件,防病毒软件没有报告威胁,这可以放心吗?在这种情况下有什么需要考虑的吗?
答案1
ZIP 变化不大。一个称职的 AV 程序应该对压缩和解压文件报告相同的结果。
不可执行文件通常不太可能包含恶意代码,因为启动该代码要困难得多。使用程序、脚本等。你通过运行该可执行文件来执行一些代码。在非可执行格式中,攻击者没有这种便利,必须找到一种方法来诱使读取文件的程序(播放器、文档查看器等)执行其内容而不是解释它。他们必须找到程序中的错误并找到一种可靠的方法来利用它。但不同的程序可能使用不同的文件加载代码,因此必须针对特定软件准备恶意文件。这使得这种攻击不太实用。
这并不意味着不可执行格式是值得信任的。流行软件中时常会发现此类漏洞。一些文件还包含不明显的可执行部分,例如 Word 和 Excel 文档可以包含可执行宏。Word 在 Windows PC 上如此常见,而且其文件看起来无害,这一事实使其成为非常有吸引力的媒介。
这也并不意味着不那么流行、不那么出名的程序就更安全。它们可以使用与更流行的软件相同的文件解析库,也存在漏洞,但更新修复的频率可能较低,而且没有经过彻底的实战测试。
底线是:不要打开来自不受信任来源的文件,并确保您的自动备份是完整、最新且可恢复的。
答案2
答案3
我决定使用EICAR 测试文件。我使用的版本用空格填充到长度 128,否则在十六进制编辑器中查看时原始文本仍然保持在文件中未被修改。
我已经上传未压缩和压缩版本与病毒总数。在这两种情况下,大多数防病毒软件都检测到了恶意软件,但检测率从 57/66 下降到 49/63。
以下防病毒软件无法检测到“恶意软件”(忽略那些无法处理文件或甚至无法检测未压缩文件的软件):
- 广告意识
- 阿里巴巴1
- 艾雅克
- 超级反间谍软件
- 赛门铁克1
- 快子
除非你的防病毒软件在这个列表中,否则扫描压缩文件很可能等同于扫描未压缩的文件。但请记住,防病毒软件无法扫描受密码保护的档案,但似乎有两个例外对此。杀毒软件 Cyren 和 Fortinet 似乎能够扫描使用 ZipCrypto 加密和任意密码的档案。所有杀毒软件都无法扫描使用 AES-256 加密甚至简单密码的档案(使用 123456 测试)。
1这些防病毒软件只有在重新扫描文件后才能检测到“恶意软件”,而且它们无法检测到内容相同的不同档案。这可能意味着他们了解了其他防病毒软件的检测结果并选择将该文件也报告为病毒。