На сайт через iis загрузили вирус в папку AppData где сохраняются разные временные файлы.
Симантек его конечно удалил, но рук-во сказало сделать проверку входных байтов перед сохранением на диск.
Я правильно понимаю, что попадание вируса на диск уже возможность ему выполнится, несмотря на то что его скоро удалит антивирус?
Есть же какой то момент времени от сохранения и до момента обработки его антивирусом.
Как вам такое решение.
Входной поток байтов, в функциях, где ожидаются файлы на вход отправляем на сканирование какому-то антивирусу, который умеет сканить поток байт
и потом принимаем решение: кидаем иксепшн или сохраняем на диск.
Если по решению ок, по 2 вопроса.
— как делать тест с вирусом, как имитацию его сделать?
— какие бесплатные антивирусы для проверки на лету посоветуете для Windows, учитывая, что на сервере стоит уже Симантек?
Здравствуйте, AShirmanov, Вы писали:
ET>>- какие бесплатные антивирусы для проверки на лету посоветуете для Windows, учитывая, что на сервере стоит уже Симантек?
AS>Бесплатных решений этого типа я не знаю
Здравствуйте, e.thrash, Вы писали:
ET>Я правильно понимаю, что попадание вируса на диск уже возможность ему выполнится, несмотря на то что его скоро удалит антивирус?
Вирус может быть безфайловым. Например записями в реестре, а для своего выполнения вызывать существующие утилиты ОС (например powershell)
Вирус может быть RamOnly (был когда-то очень нашумевший червь для MSSQL).
Вируса вообще может не быть. Похекают ваши серверные скрипты, и будут сливать себе чувствительные данные. Или при скачивании подсунут ссылку на свой ресурс. У вас на диске вируса нет, а ваш юзер его всё равно качает по вашей ссылке. С другого сайта.
