Windows Defender 可以扫描的最大文件大小为 2G,因此我在 Linux 机器上运行此命令来增加文件大小。然后我将其复制到我的 Windows 机器上。
dd if=/dev/zero bs=1G seek=3 count=0 of=malware.exe
然后我尝试在 Windows 机器上运行它,但 Windows Defender 仍然中断了它的执行。我认为问题可能是因为在文件末尾添加了“空白”字节,所以 Windows Defender 注意到了发生了什么。有没有办法增加文件大小,而文件仍然不会被检测到?
如果我说的不清楚或者做错了什么,请谅解。:)
答案1
您假设 Windows Defender 的文件大小限制为 2GB,这似乎是错误的。设置限制毫无意义,因为坏人会试图做您正在做的事情。
下面的链接允许您设置最大大小,默认为“无限制”。这肯定意味着限制是文件系统上正在读取的文件的最大大小。
我发现的其他链接也提供了类似的信息。
答案2
原因是 Windows Defender 是一个 32 位进程,在 64 位 Windows 上也是如此。
简单的提示:它与程序一起存储,使用x86:
%SystemDrive%\Program Files (x86)\Windows Defender\
作为 32 位进程,它不能超过 2 GB。
您可以在此处找到有关此限制的详细信息:
超级用户:为什么 32 位进程有 2 GB 的 RAM 限制?