iT邦幫忙

0

關於線上掃毒服務的使用及可靠度

因為使用線上掃毒服務掃描壓縮檔(.wim)並解壓縮內容後個別掃描,卻產生極大不同的報告,這裡不討論誤判率因為看起來似乎不像,所以小弟產生下列的困惑,請大家幫忙解惑並指正,謝謝!
1.是否掃描檔案時應該掃描個別檔案(非壓縮的),結果才能較正確?
2.若是如此,防毒軟體現階段的某些設定(省時、降低負載、忽略大於XX的壓縮檔等)是否存在盲點?
3.還是掃毒時,我們應注意哪些條件才能使結果較為正確。
下面附上使用的檔案、網頁及自己測試時的報告圖片(共4個線上服務),供大家參考。
測試的檔案WIMTOOL.WIM https://mega.co.nz/#!aElniTpJ!2sEQsgihscXUzEH6pe6i2rg35ZOKjO158MNrYfiISaE
sha256sum:b6334012862c17412ebf4a3a45e5dbba4167074e98cefd61bd499cb535d72751
測試的報告圖檔virus report.zip https://mega.co.nz/#!CNVi0YDa!tKZwBa6DIMdSb1KPuOow97_UKfSt3Eql_3ThM6ftAdg
sha256sum:003be6b22dfdd702bee0144ce9678bd0a22bb16ee6ea18801ad225b0716e9a05
使用的線上掃毒網頁 http://www.virscan.org/https://www.metascan-online.com/zhhttp://virusscan.jotti.org/enhttps://www.virustotal.com/zh-tw/

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

8
u8526425
iT邦大師 1 級 ‧ 2014-02-10 14:57:02
最佳解答

為了避免Loading過大
掃瞄方式通常都會有設各種例外
如果你擔心
那就是手動將例外與檔案大小限制都拿掉

線上掃瞄因為沒有這種選項
線上掃瞄的引擎與病毒碼版本也不明
只能多試幾種來互相驗證

scorpion iT邦新手 4 級 ‧ 2014-02-13 10:07:06 檢舉

謝謝您的意見。我意識到[線上掃瞄沒有選項供選擇],可能掃描時不會將壓縮檔解開,所以我比較在意的還是我提出的第一點問題。線上掃瞄引擎有的會顯示版本及病毒碼版本(只能想信他),而有的病毒碼庫真的比較舊了。
1.是否掃瞄檔案時應該掃瞄個別檔案(非壓縮的),結果才能較正確?

u8526425 iT邦大師 1 級 ‧ 2014-02-15 23:18:39 檢舉

為了避免受到壓縮部份的例外設定影響
當然是解開最好
但是可能有兩個問題

  1. 電腦本身的防毒軟體有偵測到
    當你做完解壓縮的同時就被自動清除掉了
  2. 有的網站要求可疑檔案的上傳要先壓縮成加密的ZIP檔
    如果網站有要求這動作
    你就沒有選擇
scorpion iT邦新手 4 級 ‧ 2014-02-18 12:41:42 檢舉

根據[Jotti's malware scan]及[Metascan Online]掃描的結果,挑了3個掃毒軟體在單機測試。所以還是只能靠勤勞能分辨的"人"了,謝謝大家幫忙。

結果請參考附件virus report.zip(已更新,原問連結失效)
https://mega.co.nz/#!6VERhQwD!y7iibzMzvshtwruhp69ViJWnGrCI_yYL5MP_6iHHuAU
環境:WinXP-sp3(原裝環境無任何軟體)+掃毒軟體最新版本&最新病毒碼&原始設定值
1.Norton
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->wintool.exe被隔離
wimtool.zip(資料夾的壓縮檔)-->wintool.exe被隔離

2.F-Secure
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->找不到惡意程式

3.Avira Free Antivirus
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->特洛伊木馬程式
wimtool.zip(資料夾的壓縮檔)-->特洛伊木馬程式

我要發表回答

立即登入回答