Поддерживаемые форматы

Требования к файлам

Dr.Web vxCube поддерживает следующие форматы файлов:

Тип файлов

Формат файлов

Исполняемые файлы Windows

EXE, DLL, CPL, SYS, NATIVE APP, MSI

Пакеты Android

APK

Документы Microsoft Office

MHT, RTF, DOC, DOCX, DOCM, DOTM, DOTX, WPS, XLL, XLS, XLSX, XLSM, XLSB, XLAM, XTLX, XTLM, SLK, IQY, PPT, PPTX, PPTM, PPSX, PPSM, SLDX, SLDM, PPA, PPAM, THMX, POTX, POTM, XML, ACCDB, PUB, ODT, ODS, ODP

Файлы Acrobat Reader

PDF

Исполняемые файлы Java

JAR, CLASS

Файлы сценарных языков

JS, VBS, WSF, JSE, VBE, PS1, BAT, SCT, XSL

Другие

MOF, LNK, HTA, CHM, ZIP, ARJ, XZ, ACE, TAR, BZ2, CAB, GZ, RAR, 7Z

warning_green

Файлы с расширениями ZIP, ARJ, XZ, ACE, TAR, BZ2, CAB, GZ, RAR, 7Z можно отправить на анализ только через API.

Размер загружаемого файла не должен превышать максимальный размер файла, разрешенный лицензией.

Особенности обработки файлов

В зависимости от формата каждого файла Dr.Web vxCube использует разные механизмы его обработки и способы запуска.

warning_green

При выборе файлов Microsoft Office, Acrobat Reader и Java, выбор операционной системы заменяется на выбор версии соответствующего приложения. Например, для PDF-файла появится выбор между 10.1, 11.0, 15.8 и 15.10 версиями Acrobat Reader.

Форматы файлов и способы их запуска

Формат файла

Способ запуска

EXE

%sample%

DLL

regsvr32 /s %sample%

CPL

rundll32 shell32.dll, Control_RunDLL "%sample%"

SYS

sc create %random_name% type= kernel start= demand error= ignore binpath= "%sample%" DisplayName= %random_name%

sc start %random_name%

NATIVE APP

rtlrun %sample%

MSI

msiexec.exe /i %sample%

MHT

winword %sample%

XML

msoxmled.exe

RTF, DOC, DOCX, DOCM, DOTM, DOTX, WPS, ODT

winword.exe

XLS, XLSX, XLSM, XLSB, XLAM, XTLX, XTLM, SLK, IQY, ODS

excel.exe

PPT, PPTX, PPTM, PPSX, PPSM, SLDX, SLDM, PPA, PPAM, THMX, POTX, POTM, ODP

powerpnt.exe

ACCDB

msaccess.exe

PUB

mspub.exe

PDF

acrord32.exe

JAR

javaw -jar %sample%

CLASS

java %sample%

JS, VBS, WSF, JSE, VBE

wscript /b /nologo %sample%

PS1

powershell -file %sample%

BAT

cmd /c %sample%

SCT

regsvr32.exe /s /i:%sample% scrobj.dll

XSL

wmic printjob get /format:"%sample%"

MOF

mofcomp %sample%

LNK, HTA

%sample%

CHM

hh.exe

XLL

excel.exe %sample%

%sample% — имя файла на виртуальной машине в процессе анализа.

%random_name% — случайным образом сгенерированное имя.