真的憋不住了，请教高手。

ELOHIM

温馨小屋 发表于 2015-9-2 15:24
直接识别扩展名可能是为了&#24 ...

嗯。
但是改成不识别的扩展名以后就说这个文件是安全的做法是不负责的。

ELOHIM

欧阳宣 发表于 2015-9-2 15:26
似乎是因为杀软对应特定格式的解包方式不同。比如bd的oem文件夹里就曾经看到过针对apk和某类安装包的解压dl ...

非常感谢。
可是，
可是改了扩展名就说恶意不改就说安全，这不是变色龙是啥？
不管解包方式如何，如果文件存在危险代码就要告诉用户这个文件不安全。

温馨小屋

ELOHIM 发表于 2015-9-2 15:26
嗯。
但是改成不识别的扩展名以后就说这个文件是安全的做法是不负责的。

我发现好像只有360之类国内厂商会这样，像卡巴之类的都是默认勾选按格式扫描文件，而不是扩展名，但是这样确实是不负责任

ELOHIM

温馨小屋 发表于 2015-9-2 15:29
我发现好像只有360之类国内&#21378 ...

同意你的意见。
性能和安全之间不有平衡。但是不能捂着嘴巴乱讲话。
有一成语叫自相矛盾。
改了扩展名和不改扩展名，哈希值有变吗？？？
如果没变，请那些安软严肃的告诉用户这个文件到底是不是安全的。
[mw_shl_code=css,true]Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.exe:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34

C:\Users\^>"F:\SysinternalsSuite\sigcheck.exe" -h "C:\Users\^\Download
s\45.0.2454.85_chrome64_installer.vir"

Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.vir:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34[/mw_shl_code]

上面是谷歌安装程序在变更扩展名以后的散列值。

欧阳宣

ELOHIM 发表于 2015-9-2 15:29
非常感谢。
可是，
可是改了扩展名就说恶意不改就说安全，这不是变色龙是啥？

我意思就是说多半是因为改了扩展名之后杀软才会用对应的方式来解包检测

ELOHIM

欧阳宣 发表于 2015-9-2 15:39
我意思就是说多半是因为改了扩展名之后杀软才会用对应的方式来解包检测

原来是安全检测机制需要完善。
感谢版主解答……

ericdj

ELOHIM 发表于 2015-9-2 15:06
不能无视，高材生，请认真表述你的看法。

其实就是直接扫，不关注后缀啦

ELOHIM

ericdj 发表于 2015-9-2 16:05
其实就是直接扫，不关注后缀啦

这样才好是不是。

ericdj

ELOHIM 发表于 2015-9-2 16:08
这样才好是不是。

必须啊~~~~~



用户提请杀软进行扫描，杀软必须具备扫描各种情况下的样本，窃以为

方鸿渐

ELOHIM 发表于 2015-9-2 15:09
额，卡成什么样子这个问题，VB，AV-TEST等这些机构最有发言权。
一个文件安不安全，有没有恶意代码，不 ...

一个根本就执行不了的文件，是没有什么危险的。很多杀软默认只监控文件执行，不监控文件写入，是一样的道理。