On Saturday 16 October 2004 23:22, Mircea Ciocan wrote: > On Sat, 16 Oct 2004 22:15:09 +0200, Dragos MOROIANU > [ a scris despre timpii extrem de mic de scanare al unor produse AV > comerciale si mari al lui clam scan ] > > NO ONE cand read a >500MB file that fast and live to tell about it ;), > deci produsele comerciale mai o taie pe scurtatura :) si zica ca daca > virusul e prin mijlocul unu fisier oarecare si enorm si ne-executabil, > poate ca nu ar prezenta cine stie ce pericol, sunt convins ca au > optiuni de scanare avansata si disperata care chiar vor lua la mana > tot fisierul dar atunci vor dura tot atit de mult ca si clamscan. Acu' > AV tarzii de pe lista ar putea sa zica daca clamscan are optiunea > inversa sa fie mai sloppy cu scanarile.
dar de ce sa analizezi cod neexecutabil ? de gragul de a scana ? mi se pare normal sa analizezi doar codul care se executa. asta arata defapt ca bdc stie sa despacheteze un executabil si nu face precum clamscan, probabil doar niste comparari de stringuri. uite ce se intampla cu un executabil mare(fake) : [EMAIL PROTECTED]:/work/tmp/10# ls -alh total 385M drwxr-xr-x 2 root root 112 2004-10-17 08:33 ./ drwxr-xr-x 59 root root 7.0K 2004-10-17 08:18 ../ -rw-r--r-- 1 root root 29K 2004-07-07 08:36 document.txt.exe -r-xr-xr-x 1 ftp ftp 385M 2004-10-17 08:23 pagefile.sys* [EMAIL PROTECTED]:/work/tmp/10# time bdc --list --debug pagefile.sys BDC/Linux-Console v7.0 (build 2490) (i386) (Dec 10 2003 16:11:35) Copyright (C) 1996-2003 SOFTWIN SRL. All rights reserved. *pData is NULL /work/tmp/10/pagefile.sys ok Results: Folders :0 Files :1 Packed :0 Infected files :0 Suspect files :0 Warnings :0 I/O errors :0 real 0m0.402s user 0m0.370s sys 0m0.030s [EMAIL PROTECTED]:/work/tmp/10# time bdc --list --debug document.txt.exe BDC/Linux-Console v7.0 (build 2490) (i386) (Dec 10 2003 16:11:35) Copyright (C) 1996-2003 SOFTWIN SRL. All rights reserved. *pData is NULL /work/tmp/10/document.txt.exe infected: [EMAIL PROTECTED] <- emalware.xmd Results: Folders :0 Files :1 Packed :0 Infected files :1 Suspect files :0 Warnings :0 Identified viruses:1 I/O errors :0 real 0m0.397s user 0m0.340s sys 0m0.070s [EMAIL PROTECTED]:/work/tmp/10# cat pagefile.sys >> document.txt.exe [EMAIL PROTECTED]:/work/tmp/10# time bdc --list --debug document.txt.exe BDC/Linux-Console v7.0 (build 2490) (i386) (Dec 10 2003 16:11:35) Copyright (C) 1996-2003 SOFTWIN SRL. All rights reserved. *pData is NULL /work/tmp/10/document.txt.exe infected: [EMAIL PROTECTED] <- emalware.xmd Results: Folders :0 Files :1 Packed :0 Infected files :1 Suspect files :0 Warnings :0 Identified viruses:1 I/O errors :0 real 0m0.426s user 0m0.320s sys 0m0.070s cum tot ce e dincolo de exitpointul executabilului nu se mai executa, nu va aparea vro problema in a executa pe windows document.txt.exe dupa acel 'cat' dar daca as fi facut un 'cat document.txt.exe >> pagefile.sys' e normal sa nu se detecteze nimic pentru ca nimic nu se poate executa ... daca '--nohed' ar fi functionat nu ar fi mers decat ceva mai rapid pentru ca totusi si euristica aia dureaza ceva timp ... dar nu functioneaza . problema va fi reparata :) > > Mircea "windozaci saraci" C. > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ -- Daniel Dumitrache --- Detalii despre listele noastre de mail: http://www.lug.ro/
