Как стать автором
Обновить

Комментарии 4

НЛО прилетело и опубликовало эту надпись здесь
Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать. И только в случае отсутствия подписи должен применяться эвристический анализ. То есть подписанный файл получает плюс, но во многом это зависит от реализации антивируса.
Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать.


Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.

Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.
Мы тестировали только вариант сканирования. Каюсь, забыл про это упомянуть в статье. Самое непонятное почему на VirusTotal движок Kaspersky говорит что файл чистый, а локальная версия антивируса Kaspersky Endpoint Security 10 при включённой эвристике выдаёт ложное срабатывание? Ведь перед началом распространения защищённого файла многие ориентируются на VirusTotal. И вот тут начинаются разные подозрения. Возможно версия на VirusTotal содержит только сигнатурный анализ или ещё каким-то образом сильно отличается от локальной версии у пользователей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий