Posso fare affidamento sugli oggetti "dati" di scansione anti-virus nel programma di installazione?

4

Quando eseguo una scansione anti-virus (Kaspersky in questo caso) su un programma di installazione (InnoSetup), esegue la scansione di più oggetti "dati" che sembrano essere i file all'interno dell'installer: Scansione antivirus

Questo dà l'impressione che rileverà un programma dannoso prima ancora di eseguire il programma di installazione.

Posso fare affidamento sul software antivirus che rileva un programma dannoso all'interno di un programma di installazione durante la scansione del solo programma di installazione? Anche se l'installatore è protetto da password e crittografato?
O devo anche scannerizzare i file installati?

Nota: So che è pericoloso eseguire un programma di installazione da una fonte non attendibile . Nel mio scenario speciale, il programma di installazione stesso è creato da una fonte attendibile ma i contenuti non sono necessariamente attendibili.

    
posta Ignitor 23.09.2016 - 11:14
fonte

2 risposte

1

Ecco qualcosa di importante: in un campo della sicurezza delle informazioni, una "fonte attendibile" non è solo una fonte che, come credi, non causerà alcun danno intenzionalmente . È anche una fonte che non ti farà del male di tanto in tanto a causa dell'ignoranza o della negligenza.

"Un'origine che può fornire un programma di installazione con contenuti non attendibili" suona come una definizione di una fonte non attendibile . Anche se è, diciamo, tuo padre o tua sorella, devi ancora valutare le minacce alla sicurezza delle informazioni in base a quanto sanno sulla sicurezza delle informazioni, non solo su quanto ti fidi in generale dei tuoi parenti stretti.

Se il tuo parente stretto ha appena scaricato un programma di installazione da qualche parte e poi te l'ha inviato, non viene comunque da una fonte attendibile in alcun senso. Quindi è ancora meglio evitare di eseguirlo.

    
risposta data 17.01.2018 - 15:13
fonte
0

Dipende dalle capacità di scansione del tuo programma antivirus (/ antimalware). Se guarda solo frammenti all'interno dell'eseguibile per confrontarsi con le firme conosciute; allora probabilmente ora. Supponendo che le "firme" non saranno viste quando sono compresse / codificate / crittografate.

Se il tuo programma antimalware esamina le caratteristiche comportamentali, e la maggior parte di quelle decenti, molto probabilmente vedrà cosa succede quando viene eseguito questo programma di installazione. Inoltre, sono noti diversi installer e ben documentati formati di file e prodotti antimalware sanno come analizzare i suoi contenuti.

Un discreto programma antimalware tuttavia guarderà anche alle caratteristiche comportamentali. Se i file vengono estratti su disco, verranno sottoposti a scansione una volta scritti o eseguiti.

In conclusione, è relativamente facile portare malware su una macchina. Ma decodificarlo / distribuirlo ed eseguirlo sarebbe la sfida.

Il caso più ideale è firmare i tuoi binari - così sai che non sono stati manomessi e reimballati in un programma di installazione come InnoSetup.

    
risposta data 23.09.2016 - 22:40
fonte

Leggi altre domande sui tag