档案提取
归档文件通常包含多层压缩内容,旨在绕过传统的
安全工具。OPSWAT Extraction 能够安全地解压归档文件,并将每个文件送入深度分析流程。
- 递归归档文件解压
- 归档炸弹检测
- 数据损坏预防
OPSWAT 得到以下机构的信任
将
递归提取至可配置深度
160+
支持的归档格式
单次提取
所有引擎
档案炸弹的检测与控制
支持加密和密码保护的归档文件
攻击者利用归档结构实施攻击
嵌套层、格式错误的头部以及拼接的归档文件,能够绕过那些仅对
文件进行表面检查便将其标记为安全的扫描程序。
隐藏的威胁
仅对存档文件进行整体扫描无法揭示其内部内容。攻击者利用嵌套层、串联ZIP文件、自解压容器以及多语言文件,确保解析器在到达有效载荷之前就停止工作。如果扫描不以解压为前提,检测引擎就永远无法检查实际威胁。
加密存档
如果没有密码,大多数安全工具都无法读取受密码保护的压缩包。活跃的网络攻击活动仍在通过这种方式传播勒索软件和信息窃取软件,并将密码通过独立渠道发送,以避免被关联追踪。
格式错误或超大尺寸的归档文件
归档文件无需携带有效载荷即可造成危害。解压炸弹会耗尽 CPU、内存和磁盘资源,从而导致扫描管道停滞或崩溃,为其他威胁在未经检查的情况下趁虚而入创造了机会。当未对递归深度、文件数量或解压后大小设置限制时,深度嵌套的归档文件也会产生同样的后果。
一致且可扩展的归档文件提取
“归档文件提取引擎”负责集中处理压缩文件和容器文件格式的解压工作,确保其中的每个文件在进入其他扫描引擎之前,都能被充分暴露并经过深度分析。
在扫描开始前解压所有文件
该引擎会递归解压归档文件,逐层深入以发现那些表面级扫描无法触及的子文件。随后,每个提取出的文件都会被传递给下游引擎。
在不阻塞操作的情况下处理加密归档文件
经过加密和密码保护的归档文件将通过可配置的提取策略进行处理,这使安全团队能够全面检查文件,同时避免因默认采用一刀切的允许或阻止决策而中断工作流程。归档文件的处理针对每种文件类型仅执行一次,从而确保加密格式在所有引擎中都能得到一致的处理,而非被缺乏原生解密支持的引擎跳过。
实施保护扫描基础设施的限制措施
通过配置递归深度、文件数量和总解压大小等控制项,可防止解压炸弹和超大有效载荷耗尽系统资源。管理员可以精确定义解压停止的位置,在所有归档类型中平衡解压的彻底性与处理流程的稳定性。
深度拆解、全面可视化、更优质的
检测
归档提取引擎利用经过优化的解析器来提取文件、统一提取逻辑,并与扫描及CDR工作流进行集成。
步骤 1提取前请先确认
通过真实的文件签名(而非声明的扩展名)对每个压缩包进行验证,确保在开始解压之前,能够正确识别伪装或重命名的容器文件。
- 步骤 2
递归解压文件
将每个嵌套层解压至可配置的深度限制,针对每种归档类型仅执行一次提取操作,并将结果共享给所有下游引擎,以消除冗余处理。
- 步骤 3
对提取文件的深入分析
每个提取的文件都会作为独立对象单独提交至完整的MetaDefender 堆栈,而非作为不透明容器的一部分。
主要特点与优势
递归归档文件解压
自动提取多层嵌套结构,从而揭示隐藏在复杂归档结构深处、单次扫描无法触及的文件。无论嵌套层级多深,都无法成为恶意载荷的藏身之处。
跨所有引擎的单次提取
归档处理针对每种文件类型仅执行一次,提取出的结果将供所有下游扫描引擎共享,从而避免了重复解压。无论部署了多少个引擎,都能实现更快的处理速度和一致的结果。
可配置的提取限制
管理员可针对每个工作流明确设定递归深度上限、最大提取文件数量以及总解压大小。在“解压炸弹”和超大压缩包耗尽系统资源或导致扫描管道停滞之前,即可对其进行有效控制。
部署选项
企业内部
在您现有的安全基础设施中部署,以实现全面控制和自定义。
Cloud
利用云端处理技术,在分布式环境中扩展归档分析能力。
混合动力
结合本地部署与云部署,以优化性能和安全覆盖范围。
资源
“归档文件提取引擎”与“Metascan 杀毒引擎”提取功能的区别
OPSWAT 引擎与7-Zip之间的区别
