Comment analyser un gros fichier non fiable?
J'ai récemment commencé à convaincre des proches de télécharger tout ce qu'ils téléchargent sur Virus Total, pour les aider à être plus en sécurité lors du téléchargement de trucs.
Cependant, j'ai récemment rencontré un programme d'installation pour un jeu d'environ 500 Mo. Virus Total ne prend en charge que les téléchargements jusqu'à 128 Mo.
Comment puis-je m'assurer que ce fichier est sûr à installer?
Vous ne le savez peut-être pas, mais VirusTotal enregistre les fichiers que vous téléchargez. Les entreprises abonnées à VirusTotal peuvent télécharger les fichiers que vous avez téléchargés, cela fait partie des conditions d'utilisation. Je ne téléchargerais rien de potentiellement sensible que vous ne voudriez pas que le monde entier voie.
Bien que VirusTotal soit en effet un service utile, je ne pense pas qu'il soit avantageux d'analyser tout ce que vous rencontrez. En supposant que vous exécutez Windows, l'un des principaux acteurs du jeu AntiVirus, tel que Windows Defender, devrait être suffisant la plupart du temps.
Y a-t-il une raison pour laquelle vous vous inquiétez de ce programme d'installation du jeu? Est-ce d'une source légitime ou est-ce quelque chose que vous avez récupéré d'un service P2P? Des choses telles que les jeux qui déballent des exécutables géants ne sont pas susceptibles d'être capturées par AntiVirus. Il y a beaucoup plus d'espace pour cacher quelque chose de malveillant qui semble inoffensif.
Pour quelque chose de cette taille, je recommanderais de courir dans un bac à sable. Cuckoo analysera dynamiquement les fichiers et les exécutables. Sandboxie n'analyse pas les fichiers, mais fournit plutôt l'isolement, donc si un programme est malveillant, il ne pourra pas toucher le reste de l'ordinateur.
Les gros fichiers [légitimes] ont généralement une somme de contrôle fournie par le fabricant pour un certain nombre de raisons:
- Assurez-vous que le téléchargement s'est terminé avec succès et dans son intégralité
- Assurez-vous que le téléchargement provient du fabricant sous sa forme prévue (non modifiée)
Je cherchais une somme de contrôle auprès du vendeur et j'essayais de faire correspondre les hachages. Les hachages acceptables sont SHA256 et plus. MD5 et SHA1 ont connu des collisions et seront donc obsolètes sous peu .
Comme deuxième option, vous pouvez faire exploser sur un hôte isolé avant de l'exécuter sur votre système prévu. Les bacs à sable peuvent être efficaces pour certains logiciels malveillants, mais de plus en plus de logiciels malveillants tiennent à détecter s'ils sont exécutés dans un bac à sable et n'exploseront pas dans certaines conditions.