La tua domanda si applica potenzialmente a molte situazioni diverse, quindi è difficile rispondere in modo definitivo. Idealmente, dovresti rendere la tua domanda più specifica.

Come regola generale, le firme di scansione dei file sono mirate indipendentemente dal pacchetto distribuito. Quindi, non importa se si tratta di un RPM o EXE o altro. Qualunque sia la forma in cui viene distribuito il malware, verrà preso di mira per la scansione.

Fa la differenza per una scansione antivirus su quale sistema viene eseguito e su quale tipo di malware sta cercando?

No, a meno che tu non includa gli esotici. Il problema si riduce se un prodotto supporta i motori che eseguono la scansione del target in modo efficace dal punto di vista dell'ambiente previsto.

Tutti i malware che scansioniamo presentano una struttura compatibile con un ambiente di destinazione. Compatibile non significa buono o cattivo; significa semplicemente che per qualsiasi scanner, accessore, ecc., quell'oggetto ha una caratteristica diversa da ottenibile come un oggetto opaco privo di scopo discernibile (che è, per inciso, ciò che un contenitore correttamente crittografato si sforza di essere).

Quindi, poiché dispone di funzionalità in alcuni ambienti, è possibile rilevare tali funzionalità e la decisione si basa in realtà sull'opportunità o meno che un prodotto di protezione possa preoccuparsene.

Windows Defender saprebbe come ...?

Sì, ora o con sforzo. Vedi sopra.

... ci sarebbe un punto nella scansione di questi file ...

Sì. Rilevazione di malware tra sistemi operativi

... questo implica che l'AV dovrebbe sapere ...

Sì, sicuramente composto da estrattori personalizzati, in sabbia o induriti.

... nascondere ...?

Sì. Questo è il gioco.

... crittografia; si può fare qualcosa?

Certo, ma spesso no, per motivi relativi alla complessità temporale

Ma voglio davvero un sì!

Va bene. Assumiamo che l'host abbia un controllo completo, incontrastato e universale. Per ottenere il tuo "sì", il candidato di anomalia (in virtù delle sue proprietà, come esistente) deve causare l'host a perde il controllo della scansione . Buona fortuna.

Sono d'accordo con gli altri che questa domanda è molto ampia, tuttavia posso offrire quanto segue:

1. Alcuni motori AV scansionano le scansioni e scansionano solo quelli che vede come "eseguibili" (o che sono appena stati rinominati come eseguibili) per quella piattaforma. In questa istanza, a meno che non si tratti di un'estensione di file eseguibile conosciuta, sarà probabilmente persa.

2. Gli APK sono solo file ZIP, alcuni prodotti anti-virus ignorano ciò che l'estensione di file dichiara che sono, rileveranno gli APK per quello che sono (file ZIP di un layout di percorso file speciale) e saranno in grado di leggere ZIP file comunque. Avira chiama "Estensioni intelligenti" ( link )

3. Dipende molto dalle firme dei virus del motore AV, se Windows Defender non ha altre firme oltre ai file che interessano la piattaforma Windows, quindi la scansione di file da altre piattaforme sarebbe inutile. Credo che Clam-AV possa rilevare (in particolare per quanto riguarda le firme per) alcuni virus Windows.

4. Hai menzionato in particolare Windows Defender:

   Windows Defender in Windows 8 resembles Microsoft Security Essentials and uses the same virus definitions.

   link

   ma al di là di questo non sono riuscito a scoprire se hanno fatto le loro definizioni o sublicenziano qualcun altro per sapere se si tratta solo di firme di Windows.

5. Un buon sito per conoscere l'efficacia AV è avcomparatives.org, elencano tutti i diversi prodotti AV e il numero di virus rilevati.

6. Se un archivio è protetto da password, non può essere scansionato, se si tratta di un archivio che si sta aprendo allora si avrà la password .. tuttavia suppongo che il malware possa incorporare un archivio protetto da password, ma poi il malware lo stesso packer dovrebbe essere rilevato.

7. L'AV tende a fare affidamento sull'euristica ora in ogni caso a causa dei limiti delle firme. L'analisi euristica sarebbe specifica per piattaforma. Quindi ci sono chiari vantaggi nell'usare AV per la piattaforma progettata.

8. La maggior parte dei prodotti AV offre la possibilità di segnalare i file inediti che devono essere analizzati al momento dell'esecuzione, dubito che molti APK avrebbero quindi raggiunto la ricerca basata su cloud di Avira.

9. Anche se è vero che Windows non ha il supporto nativo per i file RPM, ciò non significa che un fornitore di antivirus (o qualsiasi altro programma) non possa programmare il supporto per loro. Rivolgiti al tuo rivenditore AV per vedere quali tipi di file supportano. Il programma ZIP 7-ZIP, ad esempio, ha il supporto per il disimballaggio RPM, quindi non dare per scontato che Windows non conosca nativamente un tipo di file che un programma non può fornire alcun supporto per esso.

In breve no, non importa nella maggior parte dei casi, compresi gli archivi non crittografati. I rivelatori di malware attaccano per le firme, che sono fondamentalmente blocchi di dati. A meno che la piattaforma non deformi i dati in qualche modo, dovresti essere ok.

Detto questo, in teoria, potresti incontrare problemi con endianness se l'AV non interpreta correttamente i dati. Ma nella maggior parte dei casi l'AV (o i suoi pre-processori) è a conoscenza della piattaforma e, se necessario, esegue la traduzione di endianness.

Tuttavia, la tua domanda è abbastanza ampia e potrebbe usare un po 'più di specifiche.