Может ли вирус быть обнаружен в необработанном образе диска?

Question

Мне нужно проверять и извлекать файлы с различных устройств хранения и всегда запускать их через карантинную станцию. Но иногда все, что мне нужно сделать, это скопировать и сохранить содержимое в формате необработанного изображения, например.DD или .eo1

Я знаю, что могу обнаружить вирусы, если получу доступ к логической файловой системе с жесткого диска. Но если бы я хотел отказаться от этого шага и просто сохранить исходное изображение, будет ли антивирусная программа обнаруживать вирусы в исходном изображении? Благодарю.

Answer 1

Если ваше программное обеспечение AV знает об этом - возможно. Однако, учитывая, что большинство форматов образов дисков являются «по крайней мере» побитовой копией файловой системы внутри какого-либо разреженного файла или сжатого файла, шансов нет. Умные деньги для меня - это монтирование, запрещающее выполнение файлов (Linux позволит вам сделать это в точке монтирования, я не уверен, как это сделать в Windows - но для этого потребуется дополнительное программное обеспечение), и сканирование.

К счастью, это сравнительно легко проверить - добавьте тестовый файл EICAR в изображение и отсканируйте его своим любимым антивирусом. Скорее всего, он не обнаружит, но это абсолютно безопасный способ проверить, будет ли ваш антивирус работать в определенном сценарии, подобном этому

Answer 2

Это может зависеть от вируса и вирусного сканера, но в целом нет.

Конечно, в маловероятном случае (на мой взгляд) он будет работать, он будет очень медленным - он должен сканировать весь диск, включая удаленные файлы и неиспользуемое пространство, без знания структуры, которую он ищет, или даже смещений.

Из-за сигнатур в файле [относительно начала / конца файла] можно найти много virii - без этой информации это не сработало бы. Кроме того, я полагаю, что фрагментация диска вызовет дальнейшие проблемы, поскольку полезные нагрузки могут быть разбиты и разбросаны по отдельным частям диска.