Перейти к содержанию
Сергей Ильин

Антивирусная проверка изображений JPG, PNG и других картинок

Recommended Posts

Сергей Ильин

Столкнулся с тем, что при включенном Microsoft Security Essentials жутко начинает тормозить отображение в проводнике списка файлов, особенно если открывает папку с фотографиями (формат jpg). Негативный эффект усиливается в разы, если работает режим отображение "Крупные значки" или "Обычные значки". Машина у меня не слабая, поэтому такие вещи нереально подбешивают :(

В итоге внес в исключения JPG, PNG. Но возник резонный вопрос, а насколько вообще оправдана на данный момент проверка графических файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вообще говоря, нужно вносить в исключения не по расширению, а по формату, как умеют делать некоторые антивирусы.

Вредоносная программа может свои исполняемые компоненты вполне хранить в файлах с расширением png или jpg.

А, скажем, лаунчер (назовём так модуль, который запускает потом эти исполняемые "png-шки") может и не детектиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вообще говоря, нужно вносить в исключения не по расширению, а по формату, как умеют делать некоторые антивирусы.

Опытным путем выяснилось, что MSE так и делает на самом деле. Т.е. исключение на jpg работает именно для файлов этого типа, а не расширения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vadim170552

Вообще говоря, нужно вносить в исключения не по расширению, а по формату...

А можно по точнее или как-то информативнее по этой теме, как решать, если можно назвать, проблему...

Недавно внес "тупо" jpg в исключение: на удивление долго принимал фото. ХР (мощей хватает), все родное: брандмауэр, MSE, SpyShelter Personal Free

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Сергей Ильин, что в результате получилось?

Вообще говоря, нужно вносить в исключения не по расширению, а по формату, как умеют делать некоторые антивирусы.

EICAR test file в txt использую для случаев если загадочно в настройках и соответственно в целях определения умения антивируса. Выбираю режим когда проверка по расширениям, отмечаю что например txt проверять, потом меняю расширение самого файла txt на то, которое отмечено непроверяемым а дальше думаю все понятно. Или оставляю режим - проверять все типы файлов (всегда использую) и в исключения вношу любое подходящее расширение итд итп. Для реального использования в список файлов и директорий которые исключаются из проверки антивирусом никаких глобальных исключений по типам файлов не вношу, там только то что конкретно, локально необходимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Но возник резонный вопрос, а насколько вообще оправдана на данный момент проверка графических файлов?

Эксплоиты уже были. Гарантии, что их больше не будет нет, я думаю.

А вообще походу MS не поправил баг, который исправлен был в KIS еще пару лет назад :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Недавно внес "тупо" jpg в исключение: на удивление долго принимал фото. ХР (мощей хватает), все родное: брандмауэр, MSE, SpyShelter Personal Free

Вот это как раз ровно мой случай! Welcome bro! :)

Сергей Ильин, что в результате получилось?

В результате получилось, что MSE все равно проверяет "псевдокартинки jpg", а нормальные пропускает. Т.е. проверка идет по типу файла. Более того, если "картинку" открыть в браузере, но MSE ее прибивает в кеше тут же.

Проверял еще иначе. Сканировал просто по требованию настоящий файл JPG, результат - проверено 1 файл, чисто - если исключения не включены. Если включены - 0 файлов, исключение работает. Проверял также по требованию "псевдокартинку jpg" - в обоих случаях зараза палится, независимо от включены исключения или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так дырки были в обработке не псевдо-медиа файлов, а самых настоящих, но с подарком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Это замечательно что так реализовали в Майкрософт.

Заметно то помогло исключение в плане быстродействия?

Использую другой антивирус, но торможение было даже до зависания в некоторых директориях с большим количеством файлов, поэтому как всегда стандартно отключил эскизы для всех папок, выбрал тип для всех директорий Общие элементы, индексирование тоже отключил и добил все сверху редактором политик:). Получилось замечательно, однако уровня реакции аналогичного ХР тоже на таких настройках - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так дырки были в обработке не псевдо-медиа файлов, а самых настоящих, но с подарком.

Ключевое слово "были". Спрашивается почему я должен расплачиваться за уязвимости давно минувших дней всю жизнь? Они, наверное, еще на какой-нибудь XP SP2 или другом волосатом ПО эксплуатировались. :)

Заметно то помогло исключение в плане быстродействия?

Очень сильно помогло! Я не мог нормально просматривать папки с фотками, где их больше нескольких десятков. Открываешь и ждешь по минуте ... превьюшки в проводнике прям по секунде выводились :( Сейчас нормально после внесения в исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Блин, смысл вообще проверять картинки Оо? Какую опасность они могут нести? Разве что shell-запуск проверить, а сама картинка то причем??? Они абсолютно никакого вреда не может принести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vermillion

Даже не думал) Ща вынос мозга в голове))

Но все же, на сколько это сейчас актуально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но все же, на сколько это сейчас актуально?

Если можно повторить и использовать - актуально.

Если не учитывать все возможные дырки, то от чего защищаем? "А в остальном, прекрасная маркиза, всё хорошо"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дженечка
Блин, смысл вообще проверять картинки Оо? Какую опасность они могут нести? Разве что shell-запуск проверить, а сама картинка то причем??? Они абсолютно никакого вреда не может принести.

Если, конечно, не считать тех случаев, когда расширение заменено. Shell-запуск нужно проверять для всех объектов, это очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

А рекламка-то зачем в теле сообщения? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дженечка
А рекламка-то зачем в теле сообщения? :)

А я не поняла, как у Вас в анкете сделана подпись, решила поэкспериментировать.

А я не поняла, как у Вас в анкете сделана подпись, решила поэкспериментировать.

Все, разобралась, спасибо!

Отредактировал Дженечка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Анна Шуткина

Я помню, Авира удалила на флешке заражённые фотографии в jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×