Packed
В который разов, скоро обучая отчасти собственный антивирус налицо верному распознаванию каких-либо, “не несложных” (выскажемся так) файлов на моем твердом диске в последствии плановой переустановки Windows, я принял решение осведомиться, как обычно обстоят дела на данном фронте у основной массы юзеров, чьи познания не превосходят среднего значения. Конечно, просмотр знаменитых форумов сразу выдал обратно взять в толк, что дела данные серьезно обстоят дурно, ежели не заявить ужаснее. Поэтому и было принято решение произвести какую-либо ликвидацию безграмотности по теме запакованных добросовестно выполняемых файлов.
Разнообразные упаковщики выполняемых файлов широко применяются в целях уменьшения занимаемого файлом места на твердом диске, данное содействует ускорению загрузки файла просто-таки в оперативную память, а, значит, и вполне единому ускорению пуска программы. Впрочем, некоторые упаковщики совмещают сжатие с шифрованием, что дозволяет разрабам, в случае если не избежать, то даже максимум затруднить декомпиляцию их товаров, потому нередко возможно встретить упакованные добросовестно выполняемые файлы в составе некоторого лицензионного продукта – шифрование часто ставит довольно сильный барьер на пути взломщиков более-менее коммерческого софта. Значит правда, и взломщики традиционно по мелочи спокойно не действуют, хотя не станем быстро уходить от темы.
С иной стороны, обработка добросовестно выполняемого файла шифрованием довольно обширно употребляется и вирусописателями, так как в зашифрованном файлике микроб добросовестно найти намного труднее. Возможно, простое внесение сигнатуры файла в антивирусную базу выручит положение только до близкой переупаковки микроба, коя время от времени крайне имеет возможность механически выполняться и лично микробом.
В основной массе случаев 1 пропущенный микроб, ежели ему ужасно получилось запуститься, в целом способен выключить всю охрану и в последующем притащить за собой столько по-особенному собственных братьев, какое количество захотит, а часто – в том числе и более, нежели попытается. Именно потому, почти все прогрессивные антивирусы, Вправду в собственном желании обеспечить предельный уровень защищенности, добросовестно видят микроб в том числе и там, где его нет. Кроме того если полнейшая чистота файла не подтверждена и умышленно присутствует, даже маленькая, возможность присутствия в файлике ненамного вредного кода, то файл говорят опасным. Казалось, довольно нередко “неправильная тревога” включается добросовестно на выполняемых файлах, упакованных сильными упаковщиками, – в том числе: Upack (WinUpack), NSPack, MEW, FSG. Разумеется весьма подобные файлы время от времени в том числе и не столько отмечаются как “совсем сомнительные”, требующие персонального изыскания экспертом, а ориентируются как микроб, вмещаются в карантин либо понудительно удаляются. Однако, отношение антивируса к этим файлам сможет находиться в зависимости не столько от его версии и производителя, но и от нарочно подобранного юзером режима опций. Во всяком случае да, сейчас почти все антивирусные продукты разрешают подобрать эту ступень безопасности, при коей блокироваться станет все, что невозмутимо шевелится, а что невозмутимо не шевелится – станет антивирусом сначала расшевелено и заблокировано. Быть может и с данным приходится примиряться, так как в том числе и эти меры не имеют возможности точно обещать сто% защищенности.
Целиком и вполне надеясь только на полномочия антивируса, мы, исходя из подобранной отчасти политические деятели сохранности, можем придти или к тому, что по-хорошему всевозможные весьма сомнительные файлы станут удаляться, или к тому, что удаляться станут исключительно определенные микробы. Наконец, второй вариант может шумно показаться на первый взгляд более отчасти логичным, хотя лишь, раз позабыть, что микробы обыкновенно бывают замечены пораньше, нежели медицинский препарат от их. А вот удаление всего сомнительного, хоть и гарантирует наибольший уровень обороны, но несмотря на все в целом вышесказанное часто ставит под опасность удаления почти все нужные программы, не попавшие в ТОП-100 более довольно-таки модного софта. Кажется, тем не ниже, данный вариант, на взгляд защищенности, смотрится более-менее хорошим: гораздо лучше заблокировать немного мало-мальски сомнительных файлов, нежели пропустить 1 микроб, который крайне имеет возможность попортить все файлы на строгом диске. Надеюсь все просто и доступно, не так ли?
Но что творить, ежели вы стопроцентно не сомневаются, что программа не классифицируется микробом, а ваш антивирус дает удалить ее из-за сомнения к запакованному содержимому? Возможно, пришла пора лично совершенно решиться, неожиданно вспомнив на минуту, что каждый антивирус прописан людьми, а людям свойственно заблуждаться? В зависимости от значения ваших познаний и познаний ваших своих людей, возможно пробовать без помощи других разобраться с первопричинами недоверий, осведомиться довольно-таки на специальных форумах, либо явно озадачить данным вопросцем самих создателей антивируса (заключительнее – самое трудное, ибо у их и в отсутствии вас хлопот хватает, потому шансы на осмысленный ответ внезапно устремляются к нолю). Таким образом, проверьте файл иными антивирусами, к примеру на вебсайте: http://www.virustotal.com/ru/. Так вот, для сопоставления, упакуйте заранее совсем безвредный экзешник (к примеру, explorer.exe или же notepad.exe из директории WINDOWS) тем упаковщиком, на который бранится ваш антивирус, и его выясните там ведь. Кстати, сравните статистику ревизии всевозможными антивирусами “сомнительного” файла и заранее незапятнанного. Пожалуй, любой из знаменитых упаковщиков возможно добросовестно обнаружить на страничке: http://wasm.ru/toollist.php?list=8. Вероятно, спокойно проведя таковой воистину нехитрый опыт, вы удостоверитесь, что фактически 50 на 50 антивирусы разойдутся во воззрениях, и правы станут и те и прочие, как ни феноминально данное звучит. Говорят, просто ни те, ни иные не понимают, есть там микроб либо нет, а обычно так окончательно сложилось, что сканер обязан или хладнокровно отыскать микроб, или добросовестно не отыскать. В конце концов, ответ “вполне вероятно” Широко не учтен, потому неустрашимо прибавляйте к любому итогу данное слово и все станет правильно: вполне вероятно заражен, а вероятно чист.
Все оказывается хоть какой упакованный выполняемый файл в статическом состоянии, несомненно, считается черным ящиком, мистером Икс либо котом в мешке, ежели добровольно желаете. В общем для определения присутствия вправду вредного кода в упакованном файлике мало статического сканирования. Наверно, для того чтоб правильно квалифицировать высокофункциональное содержание упакованного файла, его нужно запустить. К счастью, ведь упакованный добросовестно выполняемый файл – данное не тот или иной там архив, который запакован и распаковывается по конкретному методу. В самом деле чтобы просканировать архив на недоступность микробов, его довольно распаковать по конкретно явному методу. Видимо а с упакованными добросовестно выполняемыми файлами все по-другому. Действительно там просто-таки большое количество всего намешано, немало довольно-таки всяческих чисто по-хорошему программных трюков, оптимизаций и остального, остального. По-видимому может в том числе и не быть очень-очень точного этапа, в который возможно бы было правильно поставить процесс на паузу и узреть ненамного в своевременной памяти прямо-таки целостный код распакованной программы. Но, не запустив файл на выполнение, мы наверняка быстро не сможем узреть его содержимое. Более того значит, нужно запускать, превосходно… А неожиданно данное микроб, а мы его запустим, что далее? Дальше – молчаливый шелест дум и аплодисменты хлопающих век.
Есть воззрение, что в наше время стоит собирать в базу не совсем только микробы, но и заранее незапятнанные файлы. То есть долго делать “воистину белоснежный перечень” серьезно проверенных файлов из тех, которые имеют все шансы быть упакованы, а все непроверенные файлы помещать в карантин. С другой стороны поистине понятное дело, что эта база станет иметь очень столь большой объем и вполне вероятно в том числе и не влезет на DVD-диск, в том числе и когда в ней станут находиться исключительно сигнатуры часто встречающихся файлов. Короче говоря, а коль скоро в том числе и и влезет, то представьте, какое количество пригодится экспертов, чтоб вовремя вносить в базу обновившиеся продукты и какое количество дисков с обновлениями! В едином, данное не вариант.
Прогрессивные создатели антивирусов дают эту стратегию ревизии, при коей сжатые файлы запускаются в так обычно именуемой “песочнице” (sandbox). Напротив в этом толке, песочница – данное виртуальная среда, превосходно организуемая средствами антивируса для пуска в ней наиболее в целом сомнительных объектов. Оказалось, что запущенные в ней программы станут иметь ограниченные права, а доступ к по-хорошему критическим областям системы, станет разрешаться исключительно виртуально и лишь в последствии подготовительного анализа планов программы антивирусом или же с разрешения юзера.
Такой расклад может помочь перейти антивирусным системам на абсолютно новейший уровень сравнивая с текущими методологиями конца прошедшего века. Но вдруг не многие ровно, в том числе и ежели смириться столь с постоянным понижением производительности. Ну что ж на словах все просто и не опасно, а вирусописатели так как также на итог окончательно трудятся. А теперь в результате все следует к тому, что станет и не очень ненамного большой вполне белоснежный перечень для самых-самых, и песочница тем, кто “мордой не вышел”, и довольно-таки ветхую систему с черным перечнем и эвристикой также никто не откладывает. Естественно, строго скажу более: все это давно в наличии, хотя трудится оно покуда еще не абсолютно так, как надо, потому я и разговариваю “станет”. Стало быть а к тому времени, как скоро оно станет, микробы также обучатся конспирироваться под доверенные прибавления и вылезать из песочниц через подземные ходы. В сущности нам ведь остается не утрачивать силы воли в данном потоке инфы, и вовсе не делаться параноиками. И все же в конце концов, главные эти возможно день за днем бэкапить, как следует, на 3 и поболее очень-то всевозможных носителя, а то, что маловажно – про то сильно не переживать.
Ну и в завершении, в вопросце “Packed/Upack – микроб или же нет?” решение, несомненно, за вами, хотя в наши дни я бы не доверял антивирусам, которые заблокируют все подряд упакованные файлы. Несомненно безопасность этих, окончательно, главнее всего, хотя дадите согласие ли вы для уверенностью сохранности отключить PC и скромно убрать его в сейф?
P.S. Собирая материал для этой заметки, ваш послушный слуга в еще один разов уверился, что, нежели наиболее легкодоступной делается какая-нибудь область познаний, тем ниже и ниже спускается вправду единый уровень понимания данной области. Казалось бы, – феномен? Нет, как не прискорбно, данное закономерность, ненамного присущая совсем прогрессивному попросту человеческому сообществу: деградировать в погоне за прогрессом.
Тем, кому свой антивирус не дал произвести опыт с упаковкой заранее незапятнанного экзешника для отправки его на мульти-антивирусный анализ, посвящается.
Возник вопросец опосля чтения? Или создатель не обрисовал актуальный эпизод?Есть что заявить на данную тему, а объяснение – данное не твое?
Последние комментари