mikhazloy Aug 23 2017 at 11:03

Система IEEE Software Taggant: защита от ложных срабатываний антивируса

7 min

4.6K

«Актив» corporate blogInformation Security*Programming*

+12

Comments 4

UFO just landed and posted this here

mikhazloy Aug 24 2017 at 10:06

Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать. И только в случае отсутствия подписи должен применяться эвристический анализ. То есть подписанный файл получает плюс, но во многом это зависит от реализации антивируса.

cryptoman Sep 18 2017 at 22:26

Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать.

Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.

Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.

mikhazloy Sep 19 2017 at 12:12

Мы тестировали только вариант сканирования. Каюсь, забыл про это упомянуть в статье. Самое непонятное почему на VirusTotal движок Kaspersky говорит что файл чистый, а локальная версия антивируса Kaspersky Endpoint Security 10 при включённой эвристике выдаёт ложное срабатывание? Ведь перед началом распространения защищённого файла многие ориентируются на VirusTotal. И вот тут начинаются разные подозрения. Возможно версия на VirusTotal содержит только сигнатурный анализ или ещё каким-то образом сильно отличается от локальной версии у пользователей.