Ich denke, es lohnt sich ein paar Sätze, um zuerst zu kommentieren, wie die meisten Sicherheitsprodukte an Archive herangehen:
Die meisten Endpunkt-Echtzeit- / Zugriffsscanner (standardmäßig) scannen Archive aufgrund des Overheads des Entpackens in Echtzeit nicht vollständig. Außerdem stellen die "Container" keine "unmittelbare" Bedrohung dar, so dass dies nicht der Fall ist Es lohnt sich der Performance-Hit für den Vorteil, dass möglicherweise etwas früher erkannt wird.
Die meisten Produkte bieten jedoch die Option, das Scannen von Archiven in Echtzeit zu ermöglichen. Meistens wird dies jedoch nicht empfohlen.
Die meisten Lösungen enthalten mehrere Schichten, um den Computer zu schützen und um zu verhindern, dass eine solche Datei zuerst auf den Computer gelangt. Die meisten Lösungen haben zum Beispiel einen Haken, um Dateien zu scannen, wenn sie vom Browser heruntergeladen werden und bevor sie auf die Festplatte geschrieben werden, möglicherweise in einem Web-Proxy-Prozess, der sich vor dem Browser-Prozess befindet. Da dieses Scannen nicht so zeitkritisch ist, kann mehr Zeit in Anspruch genommen werden, und die meisten hätten eine "Zip-Bombe" -Erkennung, um die Erschöpfung der Ressourcen zu verhindern, wenn dies der "Angriff" wäre.
Zum Beispiel kümmert sich niemand wirklich um zusätzliche 3 Sekunden bei einem Dateidownload, aber wenn ein Prozess das Lesen einer Datei für 3 Sekunden von der Festplatte blockiert, wird dies nicht unbemerkt bleiben und Sie werden wahrscheinlich das Gefühl haben, dass die Blockierung vorübergehend blockiert wird im Kernel bis ein Virenscan ansteht. Dasselbe gilt für das Herunterladen von E-Mail-Anhängen. Wieder ist die Geschwindigkeit weniger problematisch.
Dies gilt auch für jedes Sicherheitsprodukt, z. B. eine Appliance (Web / E-Mail / etc ..) vor dem Endpunkt. Sie haben Zeit, das Archiv zu scannen, wenn sie können, um Maßnahmen zu ergreifen.
Angenommen, die Archivdatei wurde auf die Festplatte geschrieben, und die Frontlinie ist ausgefallen oder die Erkennungssignatur / -methode ist neu. Als Teil des Entpackvorgangs scannt der Echtzeit- / Zugriffsscanner jede Datei, während sie entpackt wird. Es würde dann vom Echtzeitscanner abgeholt.
Archivdateitypen werden normalerweise (standardmäßig) am Endpunkt als Teil einer geplanten Prüfung oder bei Bedarf gescannt. Dies ist normalerweise der Fall, wenn Sie die Nachricht erhalten, dh nach Abschluss einer geplanten Prüfung. Die Scanner geben möglicherweise an, dass das Kennwort geschützt ist, wenn sie nicht entpackt werden können. Die Echtzeitkomponente würde es hier abholen, da der Benutzer das Kennwort angibt. Wenn die Inhalte bei Bedarf gescannt werden können, melden die Produkte in der Regel einen vollständigen Pfad zum infizierten Objekt im Container.
Bei den meisten Produkten können Sie konfigurieren, was bei der Erkennung für jede der erkannten Komponenten geschieht, dh Echtzeit-, On-Demand- / geplante Scans. Die meisten versuchen zuerst, die Bedrohung zu bereinigen, wenn eine Bereinigungsroutine für die betreffende Bedrohung geschrieben wurde, bevor sie einfach blockiert / unter Quarantäne gestellt werden, wenn keine Maßnahmen ergriffen werden können.
Wie zuvor mit der Echtzeitsuche im Archiv; Sie können normalerweise so konfigurieren, dass Dateien bei der Erkennung automatisch gelöscht werden. Die Gefahr, dass ein falscher Positivwert entsteht, wird jedoch von den meisten Anbietern standardmäßig nicht gelöscht.
Die Optionen für den Endbenutzer sind also eine oder mehrere der folgenden Optionen:
- Löschen Sie die gesamte Archivdatei, wenn Sie sie nicht benötigen. Ein Beispiel könnte eine Datei in Ihrem Downloads-Verzeichnis sein, die Sie nicht benötigen.
- Wenn Sie der Meinung sind, dass es sich um ein falsch positives Ergebnis handelt (basierend auf Alter, Erkennungsname, erkannte Datei, Speicherort auf der Festplatte, Intuition und Erfahrung), können Sie normalerweise eine Probe an den Anbieter senden. Hinweis: Abhängig von der Signatur / Erkennungsmethode des Herstellers müssen Sie möglicherweise das gesamte Archiv und nicht nur die darin enthaltene Datei senden.
- Laden Sie möglicherweise sowohl das Archiv als auch das erkannte Objekt auf virustotal.com als zweite Meinung hoch.
- Wenn Sie die anderen Dateien im Archiv benötigen, müssen Sie möglicherweise die Datei und den Zielspeicherort autorisieren / ausschließen, um sie zu entpacken, bevor Sie das erkannte Element sorgfältig löschen. Sie können es dann wieder verschlüsseln. Abhängig vom Zweck des Archivs haben Sie es möglicherweise nur unbrauchbar gemacht, wenn die erkannte Komponente erforderlich ist.
In Anbetracht des Vorstehenden ist es meines Erachtens fair zu sagen, dass die meisten Produkte ein Archiv nicht standardmäßig neu packen, wenn eine Komponente darin erkannt wird. Wenn es jedoch ein Stück Malware gab, das sich verbreitete, indem es sich beispielsweise in einen Docx-Container platzierte, konnte der Hersteller anhand eines Beispiels leicht eine Bereinigungsroutine schreiben, die nur die Bedrohung aus dem Archiv entfernt. Ich denke, die Antwort hier ist nicht standardmäßig, sondern es wird ein Beispiel gegeben und Grund genug, dies zu tun.