Jump to content
Kaspersky Support Forum

Kaspersky пропускает файл, если используется упаковщик

polzbak
 Share

Recommended Posts

polzbak

polzbak

Posted
Posted

Здравствуйте!

Я заметил, что Kaspersky не обнаруживает (показывает чистые если проверить через проводник)  угрозы в файлах, если они защищены упаковщиком (например, Enigma Protector, VMprotect). Хотелось бы узнать, проверяет ли антивирус такие файлы в реальном времени при их запуске?

Если внутри упакованного файла есть вирус, сможет ли Kaspersky его обнаружить при выполнении?

 

 

kmscom

kmscom

Posted
Posted
37 минут назад, polzbak сказал:

Если внутри упакованного файла есть вирус, сможет ли Kaspersky его обнаружить при выполнении?

сможет

Maratka

Maratka

Posted
Posted
44 минуты назад, polzbak сказал:

Хотелось бы узнать, проверяет ли антивирус такие файлы в реальном времени при их запуске?

Если внутри упакованного файла есть вирус, сможет ли Kaspersky его обнаружить при выполнении?

Проверяет при работе. Обнаружит или нет - зависит от наличия сигнатур, доступа к KSN, и фазы Луны.
И еще, что такое "Kaspersky"? Правильно, зарегистрированная торговая марка. А обнаружением угроз занимается антивирус, а не шильдик. По этой причине нужно знать, что это за антивирус, как он настроен, и что за вирус запускается, чтобы ответить на Ваш вопрос.

  • Like 1
AlexeyK

AlexeyK

Posted
Posted (edited)
3 часа назад, polzbak сказал:

Если внутри упакованного файла есть вирус, сможет ли Kaspersky его обнаружить при выполнении?

На скрине три файла, защищенные Enigma (_protected.exe). При сканировании не детектирует, при запуске есть детект с помощью облака (VHO), эвристики (HEUR) и мониторинга активности (PDM).

2025-02-04194334.thumb.png.7bf0067236289aaca2a423d41a23f930.png

UPD. Хотя нет, два файла из них даже при выборочном скане детектируются. При доступе к файлу, перемещении по папкам детекта нет, но при выборочном скане есть. Так что не всегда удается скрыться таким способом от детекта.

Еще несколько проверил - те, которые не детектит при скане, определяет в реальном времени по поведению. Но один все же запустился и не детектировался, хотя без энигмы он детектируется сразу. Правда не знаю, насколько он получился работоспособен. В общем, видимо, как повезет - раз на раз не приходится.

Ну и все эти перепаковки если и будут срабатывать, то до поры до времени. Информация о файлах улетает в облако или аналитикам и все равно потом будет детект. С KSN это вообще происходит очень быстро.

Edited by AlexeyK
  • Like 2
kmscom

kmscom

Posted
Posted

Про регулярное выполнение резервного копирования не забываем. Антивирус антивирусом, но береженного бог бережёт 

polzbak

polzbak

Posted
  • Author
Posted
19 часов назад, AlexeyK сказал:

На скрине три файла, защищенные Enigma (_protected.exe)

Спасибо за детальный анализ и ответ.

Все файлы, которые я защищаю с  Protector, успешно проходят проверку Kaspersky. Однако защищенные файлы повреждаются, из-за чего эти exe-файлы не запускаются и выдают ошибку.

По этой причине я не смог полностью проверить принцип работы антивируса.

Спасибо!

  • Like 1
Maratka

Maratka

Posted
Posted
1 минуту назад, polzbak сказал:

Однако защищенные файлы повреждаются, из-за чего эти exe-файлы не запускаются и выдают ошибку.

Если они не запускаются, то там и детектировать то нечего, это просто мусор.

polzbak

polzbak

Posted
  • Author
Posted
1 минуту назад, Maratka сказал:

Если они не запускаются, то там и детектировать то нечего, это просто мусор.

Protector повреждает файл, хотя это всего лишь один exe-файл, без дополнительных файлов для добавления в VirtualBox.

Не смог найти причину этой проблемы.

andrew75

andrew75

Posted
Posted

Насколько я знаю, не все упаковщики умеют корректно работать со всеми исполняемыми файлами.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...