Антивирус — это (в том числе) универсальный распаковщик, позволяющий любой, даже сильно поврежденный объект, за который не возьмется ни один разархиватор, разобрать на части.
Вот, скажем, всего два абзаца из требований к антивирусу из тендерной документации:
Установленный на компьютере антивирус обязан обеспечить проверку:
- файлов и объектов, имеющих формат Smart Install Maker (SIM); DMG, HFS, XAR, Universal Binary (MacOS); SIS (Symbian 9); INNO SETUP (5.3.9 и выше); SETUP FACTORY (линейки 7,8); XENOCODE; TARMA INSTALL (линейка 3); XZ (UNIX); COMPRESS; SQUAHFS; CHILKAT ZIP; пакеты LHA (AWARD BIOS),
- файлов и объектов в самораспаковывающихся архивах: AppPackager, Astrum Install Wizard, Create Install, Fly Studio, GSFX, Hot Soup, Inno Setup, Install Essen, Install Factory, Linder Setup, NSIS (NullSoft Installation System), RSFX, SEA, Setup Factory, Setup Generator Pro, SXA ZIP, Tarma Install, Thunder Setup System, Wise Installation System, Alloy.
И это далеко не все форматы!
Но сюрпризы, связанные с количеством проверенных объектов, может преподнести и обычная антивирусная проверка. Вот, скажем, файл нулевого размера:
Попросим антивирус его проверить.
Что за чудеса? Почему проверено больше одного объекта? Накрутка счетчика? На самом деле все честно: просто антивирус проверяет файлы (и папки) на глубину, невидимую обычным пользователям.
В фантастических произведениях часто встречается волшебный кошелек, в который можно поместить различные вещи, – и при этом ни размер, ни вес кошелька для его владельца не изменится. Файлы и директории в файловой системе NTFS, используемой в современных ОС Windows, и есть такие «волшебные кошельки».
Всем известно, что файл имеет атрибуты – права на чтение и на запись.
Но кроме этих атрибутов файлу (и папке) можно назначить иные – и они при работе с обычными файловыми менеджерами пользователю видны не будут.
Скажем, в файл нулевого размера можно записать другой файл.
Возьмите тестовый вирус eicar (например, со страницы http://www.eicar.org/85-0-Download.html). Данная «программа» (EICAR — European Institute for Computer Anti-Virus Research) была специально разработана для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как установленный антивирус будет сигнализировать об обнаружении вируса.
Но не забудьте перед скачиванием этого тестового файла отключить антивирусную защиту, иначе вы увидите нечто подобное:
Переходим в командную строку и копируем скачанный псевдовирус в некий файл.
Заходим в файловый менеджер, убеждаемся, что размер файла не изменился:
И просим проверить файл:
Вот так можно скрыть от внимания пользователя некий важный объект.
Внимание!
- Проводите эксперименты на машинах, отключенных от локальной сети.
А то ведь случаи бывают разные…
- Не забывайте включать антивирусную проверку сразу после окончания экспериментов.
Источник: https://www.drweb.ru/
