因為使用線上掃毒服務掃描壓縮檔(.wim)並解壓縮內容後個別掃描,卻產生極大不同的報告,這裡不討論誤判率因為看起來似乎不像,所以小弟產生下列的困惑,請大家幫忙解惑並指正,謝謝!
1.是否掃描檔案時應該掃描個別檔案(非壓縮的),結果才能較正確?
2.若是如此,防毒軟體現階段的某些設定(省時、降低負載、忽略大於XX的壓縮檔等)是否存在盲點?
3.還是掃毒時,我們應注意哪些條件才能使結果較為正確。
下面附上使用的檔案、網頁及自己測試時的報告圖片(共4個線上服務),供大家參考。
測試的檔案WIMTOOL.WIM https://mega.co.nz/#!aElniTpJ!2sEQsgihscXUzEH6pe6i2rg35ZOKjO158MNrYfiISaE
sha256sum:b6334012862c17412ebf4a3a45e5dbba4167074e98cefd61bd499cb535d72751
測試的報告圖檔virus report.zip https://mega.co.nz/#!CNVi0YDa!tKZwBa6DIMdSb1KPuOow97_UKfSt3Eql_3ThM6ftAdg
sha256sum:003be6b22dfdd702bee0144ce9678bd0a22bb16ee6ea18801ad225b0716e9a05
使用的線上掃毒網頁 http://www.virscan.org/、https://www.metascan-online.com/zh、http://virusscan.jotti.org/en、https://www.virustotal.com/zh-tw/
為了避免Loading過大
掃瞄方式通常都會有設各種例外
如果你擔心
那就是手動將例外與檔案大小限制都拿掉
線上掃瞄因為沒有這種選項
線上掃瞄的引擎與病毒碼版本也不明
只能多試幾種來互相驗證
謝謝您的意見。我意識到[線上掃瞄沒有選項供選擇],可能掃描時不會將壓縮檔解開,所以我比較在意的還是我提出的第一點問題。線上掃瞄引擎有的會顯示版本及病毒碼版本(只能想信他),而有的病毒碼庫真的比較舊了。
1.是否掃瞄檔案時應該掃瞄個別檔案(非壓縮的),結果才能較正確?
為了避免受到壓縮部份的例外設定影響
當然是解開最好
但是可能有兩個問題
根據[Jotti's malware scan]及[Metascan Online]掃描的結果,挑了3個掃毒軟體在單機測試。所以還是只能靠勤勞能分辨的"人"了,謝謝大家幫忙。
結果請參考附件virus report.zip(已更新,原問連結失效)
https://mega.co.nz/#!6VERhQwD!y7iibzMzvshtwruhp69ViJWnGrCI_yYL5MP_6iHHuAU
環境:WinXP-sp3(原裝環境無任何軟體)+掃毒軟體最新版本&最新病毒碼&原始設定值
1.Norton
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->wintool.exe被隔離
wimtool.zip(資料夾的壓縮檔)-->wintool.exe被隔離
2.F-Secure
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->找不到惡意程式
3.Avira Free Antivirus
結果:
wimtool.wim-->找不到惡意程式
wimtool資料夾(內含4個檔案)-->特洛伊木馬程式
wimtool.zip(資料夾的壓縮檔)-->特洛伊木馬程式