一直没想明白卡巴斯基是根据什么,在不知道压缩包密码的前提下扫描出压缩包里有病毒的,刚才摸索测试了一下,发现了一些规律,故与大家分享下。
分析过程:
先找了一些文件,其中一部分是病毒,其他一部分是正常文件,加密压缩后扫描,压缩格式包括zip和rar,发现出现了四种情况:
1. 文件带病毒,加密后扫描未报Password-protected-EXE
2. 文件带病毒,加密后扫描报Password-protected-EXE
3. 文件不带病毒,加密后扫描不报Password-protected-EXE
4. 文件不带病毒,加密后扫描报Password-protected-EXE
此外还发现,所有报Password-protected-EXE 压缩包都是zip格式的,没有一个是rar格式,至此判断出,报Password-protected-EXE 与压缩文件格式有关,与原文件是否带毒无关。
把所有报Password-protected-EXE 压缩包集中起来,把所有密码改为不常用的,比如kafanluntan等等,发现卡巴斯基仍报Password-protected-EXE ,至此判断与压缩密码也无关。
最后注意到了压缩包的大小;经过分析,发现了其中的规律,另外其他一些分析步骤从略。
分析结论:
同时满足以下所有条件,卡巴斯基会报Password-protected-EXE :
1. 被压缩文件为EXE格式。
2. 压缩包为ZIP格式。
3. 压缩包中只有一个EXE文件,除此之外没有其他任何文件。
4. 压缩后,压缩包大小介于1KB~150KB之间。
5. 压缩包要设有密码,密码随意。
题外话:
至此,以后大家看到卡巴斯基报告Password-protected-EXE,不要急于删除文件,应该先把文件解压缩后,再用卡巴斯基扫描,以判断文件是否真的带毒。
没有评论:
发表评论