¿Puedo confiar en los objetos de "datos" de análisis antivirus en el instalador?

Question

¿Puedo confiar en los objetos de "datos" de análisis antivirus en el instalador?

#1 de ximaera (1 votos)
#2 de ndrix (0 votos)

4

Cuando ejecuto un análisis antivirus (Kaspersky en este caso) en un instalador (InnoSetup), analiza múltiples objetos "datos" que parecen ser los archivos dentro del instalador:

Esto da la impresión de que detectaría un programa malicioso incluso antes de ejecutar el instalador.

¿Puedo confiar en que el software antivirus detecte un programa malicioso dentro de un instalador cuando escaneo solo el instalador? ¿Incluso si el instalador está protegido con contraseña y cifrado?
¿O también necesito escanear los archivos instalados?

Nota: Sé que es peligroso ejecutar un instalador desde una fuente no confiable . En mi escenario especial, el instalador en sí mismo es creado por una fuente confiable pero el contenido no es necesariamente confiable.

install antivirus

pregunta Ignitor 23.09.2016 - 11:14

fuente

2 respuestas

Lea otras preguntas en las etiquetas install antivirus

¿Se ha filtrado mi dirección IP cuando envío mensajes en Protonmail? Buen ejemplo de explotaciones de pila en Linux

score 1 · Answer 1

Aquí hay algo importante: en un campo de seguridad de la información, una "fuente confiable" no es solo una fuente que, como usted cree, no le causará ningún daño intencionalmente . También es una fuente que no te hará daño ocasionalmente debido a la ignorancia o al descuido.

"Una fuente que puede proporcionar un instalador con contenido no confiable" suena como una definición de una fuente no confiable . Incluso si es, digamos, tu padre o tu hermana, aún necesitas evaluar las amenazas de seguridad de la información en función de cuánto saben acerca de la seguridad de la información, no solo de cuánto confías en tus familiares cercanos en general.

Si su pariente cercano acaba de descargar un instalador en alguna parte y luego se lo envió, aún no proviene de una fuente confiable en ningún sentido. Así que todavía es mejor evitar ejecutarlo.

score 0 · Answer 2

Depende de las capacidades de análisis de su programa antivirus (/ antimalware). Si se limita a mirar fragmentos dentro del ejecutable para que coincida con firmas conocidas; entonces probablemente ahora. Suponiendo que las "firmas" no se verán cuando se comprimen / codifiquen / cifren.

Si su programa antimalware analiza las características de comportamiento y las más decentes lo hacen, es muy probable que vea lo que sucede cuando se ejecuta este instalador. Además, se conocen varios instaladores y los formatos de archivo bien documentados y los productos antimalware saben cómo analizar su contenido.

Sin embargo, un programa anti malware decente también tendrá en cuenta las características de comportamiento. Si los archivos se extraen al disco, se analizarán cuando se escriban o ejecuten.

En pocas palabras, es relativamente fácil llevar malware a una máquina. Pero descifrarlo / implementarlo y ejecutarlo sería el desafío.

El caso más ideal es firmar sus binarios, para que sepa que no se han manipulado ni empaquetado de nuevo en un programa de instalación como InnoSetup.