Проверка упакованных исполняемых файлов в Kaspersky Rescue Disc

[Стас111]

Здравствуйте! Мой вопрос о нюансах проверки упакованных исполняемых файлов в Kaspersky Rescue Disc.  При просмотре "Полного отчёта" обратил внимание на результат "Упаковано".  Насколько я понял, это упакованные исполняемые файлы?

Вот тут я прочитал, что (цитата) 

 

"....многие распаковщики запускают файл и создают распакованный вариант файла из образа, загруженного в память. Однако в случае, если этот файл содержал вирус, система может быть повреждена. Кроме того, у упаковщиков существует ряд приёмов борьбы с динамической распаковкой: например, расшифровывать код не полностью, а лишь по мере исполнения, или, например, расшифровывать и запускать вирус целиком только в определённый день недели.

Статические распаковщики, которые пытаются распаковать файл, не запуская его, оказываются бесполезны, если алгоритм упаковки требует запуска файла...  (конец цитаты)

 

Вопрос: есть ли ограничения в Kaspersky Rescue Disc при проверке упакованных исполняемых файлов? То есть, он таки проверяет ВСЁ ???

 

 

[kmscom]

Насколько я понял, это упакованные исполняемые файлы?

скорее всего это архивы, или файлы в них содержащиеся

 

даже если это исполняемый фаил, упакован, то при его запуске и распаковке, сработает HIPS

Изменено 13 октября, 2015 пользователем kmscom

[Стас111]

 

Насколько я понял, это упакованные исполняемые файлы?

скорее всего это архивы, или файлы в них содержащиеся

 

даже если это исполняемый фаил, упакован, то при его запуске и распаковке, сработает HIPS

 

Как может сработать HIPS в среде Linux?  Это ведь Kaspersky Rescue Disc !!!!!!!!!!!!

[kmscom]

евристика должна быть и KSN в антивирусе этого спасательного диска, тоже вроде есть

[Денис-НН]

Эвристика на КРД на порядок слабее эвристики в КИС. Особенности линукса.

[kmscom]

это другой вопрос, слабее - сильнее. основная мысль моего ответа заключалась в том, что если файл при запуске перед выполнением своих функций произведет развертывание своего кода в ОЗУ, сработает эвристика. но я не уверен, что антивирус может распознать, упакован машинный код компилятора в исполняемом файле или это его истинный первоначальный код. вердикт, что какой-либо файл упакован антивирус делает по маске известных ему архиваторов

[Kapral]

Господа, приношу извинения что я вмешиваюсь

Но мне так скромно хочется спросить а не путаете ли вы Эвристику, HIPS и некоторые другие технологии

Например лично мне кажется что эвристика никоим образом не зависит от операционной системы под которой запускается антивирус

[kmscom]

не путаете ли вы Эвристику, HIPS и некоторые другие технологии

вполне возможно

Изменено 16 октября, 2015 пользователем kmscom

[Денис-НН]

Господа, приношу извинения что я вмешиваюсь

Но мне так скромно хочется спросить а не путаете ли вы Эвристику, HIPS и некоторые другие технологии

Например лично мне кажется что эвристика никоим образом не зависит от операционной системы под которой запускается антивирус

Зависит. Не от самой ОС, а от программных средств на ней запущенных.  Проверял - то что видит КИС эвристикой КРД не видит в упор. Заводил баг, разбирались. Сказали что в КРД нет эмулятора windows и имитировать запуск программы и проанализировать её поведение нельзя. Эвристика работает только на анализе кода, а там много не анализируешь. В теории можно и КРД

 прикрутить эмулятор windows запускать в нём подозрительные файлы... о очень громоздко получиться.Во! Раскопал   http://support.kaspersky.ru/7409

динамический  анализ отсутствует.

Изменено 17 октября, 2015 пользователем Денис-НН

[oit]

 

 

Раскопал http://support.kaspersky.ru/7409 -динамический  анализ отсутствует.

404 ошибка. Такой страницы нет. Снова для кого-то есть, а кому-то ... 

[Mark D. Pearlstone]

@oit, ссылку нужно правильную открыть http://support.kaspersky.ru/7409

[Денис-НН]

Извиняюсь, не проверил ссылку.