¿Cómo se escanearía un archivo grande y no confiable?

2

Recientemente he empezado a convencer a los familiares para que suban todo lo que descargan a Virus Total, para ayudarles a estar más seguros cuando descarguen cosas.

Sin embargo, recientemente he encontrado un instalador para un juego de aproximadamente 500 MB. Virus Total solo admite cargas de hasta 128 MB.

¿Cómo puedo garantizar que este archivo sea seguro para instalar?

    
pregunta David Stockinger 10.10.2018 - 14:00
fuente

2 respuestas

6

Es posible que no lo sepa, pero VirusTotal guarda los archivos que carga. Las empresas que tienen una suscripción a VirusTotal pueden descargar los archivos que usted subió, es parte de los términos del servicio. No cargaría nada potencialmente sensible que no quieras que todo el mundo vea.

Si bien VirusTotal es de hecho un servicio útil, no veo que sea beneficioso escanear todo lo que encuentres. Suponiendo que está ejecutando Windows, cualquiera de los grandes jugadores en el juego de AntiVirus, como Windows Defender, debería ser suficiente la mayor parte del tiempo.

¿Hay alguna razón por la que te preocupa este instalador de juegos? ¿Es de una fuente legítima o es algo que tomó de un servicio P2P? Las cosas como los juegos que descomprimen ejecutables gigantes no son tan probables de ser detectados por AntiVirus. Hay mucho más espacio para ocultar algo malicioso que parece inocuo.

Para algo de ese tamaño, recomendaría correr en un arenero. Cuckoo analizará archivos y ejecutables dinámicamente. Sandboxie no analiza los archivos, sino que proporciona aislamiento, por lo que si un programa es malicioso no podrá tocar el resto de la computadora.

    
respondido por el Daisetsu 11.10.2018 - 05:17
fuente
2

Los archivos [legítimos] grandes, generalmente tienen una suma de comprobación proporcionada por el fabricante por varios motivos:

  • Asegúrese de que la descarga se haya completado correctamente y en su totalidad
  • Asegúrese de que la descarga sea del fabricante en su forma prevista (no modificada)

Buscaría una suma de comprobación del proveedor e intentaría hacer coincidir los hashes. Los hashes aceptables son SHA256 y mayores. MD5 y SHA1 tienen colisiones conocidas y, como tales, serán desaprobadas pronto .

Como segunda opción, puede detonar en un host aislado antes de ejecutarse en el sistema deseado. Los entornos limitados pueden ser efectivos para algunos , pero cada vez hay más malware para detectar si se está ejecutando en un entorno aislado y no detonará bajo ciertas condiciones.

    
respondido por el HashHazard 12.10.2018 - 23:12
fuente

Lea otras preguntas en las etiquetas