Su pregunta potencialmente se aplica a muchas situaciones diferentes, por lo que es difícil responderla definitivamente. Lo ideal es que hagas tu pregunta más específica.

Como regla general, las firmas de escaneo de archivos tienen como objetivo cualquier paquete desplegado. Por lo tanto, no importa si se trata de un RPM o EXE o qué. Cualquiera que sea la forma en la que se implementa el malware, será el objetivo del análisis.

¿Hace una diferencia en un análisis de virus en qué sistema se está ejecutando y qué tipo de malware está buscando?

No a menos que incluyas exóticos. El problema se reduce a si un producto es compatible con los motores que escanean el objetivo desde la perspectiva del entorno previsto.

Todo el malware que analizamos muestra alguna estructura compatible con un entorno objetivo. Compatible no significa bueno o malo; solo significa que para cualquier escáner, dispositivo de acceso, etc., ese objeto tiene una característica obtenible diferente a que existe como un objeto opaco sin propósito discernible (que es, incidentalmente, lo que un contenedor correctamente cifrado se esfuerza por lograr) be).

Luego, debido a que tiene funciones en algún entorno, puede detectarlas y la decisión realmente depende de si un producto de protección se va a preocupar o no.

¿Windows Defender sabría cómo ...?

Sí, ahora o con esfuerzo. Ver más arriba.

... habría un punto en el escaneo de tales archivos ...

Sí. Detección de malware en todos los sistemas operativos

... esto implica que el AV tendría que saber ...

Sí, lo más seguro es que consistan en extractores personalizados, de caja de arena o endurecidos.

... ¿ocultar ...?

Sí. Ese es el juego.

... cifrado; ¿Se puede hacer algo?

Claro, pero a menudo no, por razones relacionadas con Complejidad de tiempo

¡Pero realmente quiero un sí!

Está bien. Hemos asumido que el host tiene un control universal completo y sin desafíos. Para obtener su "sí", el candidato de anomalía (en virtud de sus propiedades, como existente) tiene que causar el host a

Estoy de acuerdo con los demás en que esta pregunta es muy amplia, pero puedo ofrecer lo siguiente:

1. Algunos motores de AV acortan sus exploraciones y solo explorarán aquellas que consideren "ejecutables" (o que hayan sido renombradas como ejecutables) para esa plataforma. En este caso, a menos que se trate de una extensión de archivo ejecutable conocida, probablemente se perderá.

2. Los APKs son solo archivos ZIP, algunos productos antivirus ignoran lo que la extensión del archivo afirma, detectarán los APK por lo que son (archivos ZIP de un diseño de ruta de archivo especial) y podrán leer el ZIP archivos de todos modos. Avira lo llama "extensiones inteligentes" ( enlace )

3. Depende mucho de las firmas de virus del motor de AV, si Windows Defender no tiene otras firmas que no sean para los archivos que afectan a la plataforma de Windows, entonces el escaneo de archivos de otras plataformas sería inútil. Creo que Clam-AV puede detectar (específicamente como firmas para) algunos virus de Windows.

4. Usted mencionó específicamente a Windows Defender:

     

   Windows Defender en Windows 8 se parece a Microsoft Security Essentials y usa las mismas definiciones de virus.

   enlace

   pero más allá de eso, no pude averiguar si hacen sus propias definiciones o sub-licencias para que alguien más sepa si estas son firmas de Windows solamente.

5. Un buen sitio para aprender sobre la efectividad de AV es av-comparatives.org, que enumera todos los diferentes productos de AV y cuántos virus detectaron.

6. Si un archivo está protegido por contraseña, entonces no se puede analizar, si es un archivo que está abriendo, entonces tendrá la contraseña. Sin embargo, supongo que el malware podría incrustar un archivo protegido por contraseña, pero luego el malware el propio empaquetador debería ser detectado.

7. La AV tiende a depender más de la heurística de todos modos debido a las limitaciones de las firmas. El análisis heurístico sería específico de la plataforma. Por lo tanto, hay ventajas claras de usar AV para la plataforma diseñada.

8. La mayoría de los productos audiovisuales ofrecen la posibilidad de reportar archivos nunca vistos para que los analicen cuando se ejecutan, dudo que muchos APKs, por lo tanto, lo hayan hecho a la búsqueda en la nube de Avira.

9. Si bien es cierto que Windows no tiene soporte nativo para archivos RPM, eso no significa que un proveedor de antivirus (o cualquier otro programa) no pueda programar el soporte para ellos. Consulte con su proveedor de AV para ver qué tipos de archivos admiten. El programa ZIP 7-ZIP, por ejemplo, tiene soporte para desempaquetar RPM, así que no asuma que, debido a que Windows no conoce de forma nativa el tipo de archivo, un programa no puede proporcionarle soporte.

En resumen, no, no importa para la mayoría de los casos, incluidos los archivos no cifrados. Los detectores de malware detectan firmas, que son básicamente fragmentos de datos. A menos que la plataforma malforme los datos de alguna manera, debería estar bien.

Dicho esto, en teoría, puede tener problemas con la endianness si el AV no interpreta los datos correctamente. Pero en la mayoría de los casos, el AV (o sus preprocesadores) es consciente de la plataforma y realiza la traducción de endianness si es necesario.

Aún así, su pregunta es bastante amplia y podría usar un poco más de especificación.