Можно чуть больше деталей. Просто я не знаком с DrWeb так глубоко, и не знаю, что такое гейт.
Иконка ресурса
- Автор темы Aniskin
- Дата начала
Переводчик Google
- Сообщения
- 6,408
- Решения
- 3
- Реакции
- 6,139
Гейт - Монитор реального времени. (какие критерии у него не знаю, кроме создания файла на диске и запуска процесса, возможно еще обращение к лежащему на диске файлу системы по каким-то причинам: добавление в поисковый индекс, чистка темпов и проч).
А сканер - сканер по требованию (по сути аналог CureIt с обновляемыми базами).
Возможно они по-разному шифруют файлы при карантине.
А сканер - сканер по требованию (по сути аналог CureIt с обновляемыми базами).
Возможно они по-разному шифруют файлы при карантине.
Проверил DrWeb Security Space 12.0, да, действительно, файлы создаются по схеме CureIt. К сожалению, я не знаю, как мне различить между собой варианты шифрования файлов в карантине DrWeb, никаких специальных полей-идентификаторов внутри файлов я не вижу. Можно использовать эвристики и проверять, будет ли корректный PE после извлечения, но пока не хочу этим заморачиваться, может позднее. Поэтому иду по простому пути и решил добавить возможность открывать карантин DrWeb двумя вариантами. Бета. Нужно спрашивать разрабов DrWeb о деталях, но AV компании берегут секреты своих карантинов в строжайшей тайне.
И в целом наблюдается какая-то деградация формата карантина DrWeb. Ранние версии сохраняли временнЫе метки файлов, новые не сохраняют. Ранние версии сохраняли альтернативные потоки, новые не сохраняют.
И в целом наблюдается какая-то деградация формата карантина DrWeb. Ранние версии сохраняли временнЫе метки файлов, новые не сохраняют. Ранние версии сохраняли альтернативные потоки, новые не сохраняют.
Последнее редактирование:
