我能否依靠安装程序中的防病毒扫描“数据”对象？

Question

当我在(InnoSetup)安装程序上运行反病毒扫描(本例中为卡巴斯基)时，它会扫描多个“数据”对象，这些对象似乎是安装程序中的文件：

这给人的印象是，即使在运行安装程序之前，它也会检测到恶意程序。

当仅扫描安装程序时，我是否可以依靠反病毒软件检测安装程序中的恶意程序？即使安装程序有密码保护和加密？

还是我也需要扫描安装的文件？

注意:我知道从不受信任的来源运行安装程序是危险的。在我的特殊场景中，安装程序本身是由受信任的源创建的，但内容不一定是可信的。

Answer 1

这里有一些重要的事情:在信息安全领域，“受信任的源”不仅仅是一个来源，正如你所相信的，它不会故意对你造成任何伤害。它也是一个来源，不会因为无知或粗心大意而偶尔造成伤害。

“可以为安装程序提供不受信任的内容的源”听起来像不受信任源的定义。即使是你的父亲或妹妹，你仍然需要根据他们对信息安全的了解程度来评估信息安全威胁，而不仅仅是你对近亲的信任程度。

如果您的近亲刚刚下载了一个安装程序，然后将其发送给您，那么从任何意义上说，它仍然不是来自可信的来源。所以最好还是避免运行它。

Answer 2

取决于您的防病毒(/antimalware)程序的扫描能力。如果它只是查看可执行文件中的片段，以便与已知的签名匹配，那么很可能是现在。假设“签名”在压缩/编码/加密时不会被看到。

如果您的反病毒程序查看行为特征，而大多数正确的特性，它很可能会看到当这个安装程序被执行时会发生什么。另外，有几个安装程序是已知的，有据可查文件格式和反软件产品知道如何分析其内容。

然而，一个像样的反恶意软件程序也将关注行为特征。如果将文件解压缩到磁盘，则在写入或执行文件时会扫描它们。

总之，将恶意软件带到机器上是相对容易的。但是解码/部署和执行它将是一个挑战。

最理想的情况是对二进制文件进行签名--因此您知道，它们没有被篡改并重新打包到像InnoSetup这样的安装程序中。