VirusTotal'de 70 küsur antivirüs vardır. Bunların neredeyse 60 tanesi farklı bir altyapıya sahiptir. Yani mesela:
Bizim dosyamız GTA 5 Launcher olsun.
Bunu tarattığımızda Microsoft Defender, gridinsoft, bir de Avast uyarı versin.
Hala diğer antivirüsler uyarı vermiyor demektir bu aynı zamanda. Aslında bu sağlıklı bir dosya ama bazı antivirüsler uyarı verebilir. İlle de virüstür demek doğru olmaz. Biz buna (FALSE POSİTİVE) deriz
Peki biz neyi ele alırız:
Bitdefender, Kaspersky, ESET, gibi veri tabanı yani altyapısı güçlü antivirüsler uyarı vermiş mi diye bakarız. Eğer bu antivirüslerden biri veya birden fazlası uyarı vermişse muhtemelen dosya zararlıdır. Ancak dediğim gibi (muhtemelen). Bu antivirüsler de false positive verebilir.
Bu yüzden en sağlıklı yöntem her zaman bir sanal makine kurup orada dosyayı çalıştırıp canlı canlı izlemektir.
Tabii ki bunu herkes yapamaz. Bu yüzden hybrit analiz, VirusTotal gibi sitelerde dosyaya genel olarak bir bakılır, eğer zararlı işaretleyen antivirüsler iyiyse dosyayı kullanmayız. Eğer işaretleyen antivirüsler adı sanı bilinmeyen antivirüslerse dosyayı kullanırız.
Bende mesela şu oyun var. Bu oyunun işaretlenme sebebi VM Protect ile şifrelenmesi. Ancak 1 senedir kullanmama rağmen başıma dert açmadı. Halbuki dışardan bakınca ben virüsüm diye bağırıyor. Ama bağlandığı İp adreslerini kontrol ettiğimizde ve antivirüslerin işaretleme sebebine baktığımızda (mesela eset işaretlemiş ama VM protect demiş) dosyada bir sıkıntı yok.
VirusTotal
www.virustotal.com
