Dosya adı, MIME, Magic Bytes, çift uzantı, entropi ve içerik örneklemesiyle yerel risk ön taramasının nasıl yorumlanacağını açıklayan güvenlik rehberi.
Dosya adı kanıt değil, ilk sinyaldir
report.pdf.js gibi çift uzantılar kullanıcıya belge izlenimi verip son uzantıyla çalıştırılabilir içerik saklayabilir. Nokta, boşluk, Unicode benzeri karakterler ve aşırı uzun adlar görünür dosya türünü belirsizleştirebilir. Bu işaretler şüphe seviyesini yükseltir fakat tek başına zararlı yazılım kanıtı değildir.
Allowlist yaklaşımı, iş akışının gerçekten ihtiyaç duyduğu az sayıdaki türü kabul eder. Bir tarayıcı ön taraması dosyayı açmak yerine adı normalize eder, son uzantıyı çıkarır ve bilinen riskli kombinasyonları raporlar. Dosya yeniden adlandırılsa bile içerik değişmediği için sonraki kontroller zorunludur.
MIME ile Magic Bytes neden birlikte okunur?
Tarayıcının bildirdiği MIME türü dosyadan veya işletim sisteminden gelebilir ve güvenlik kararı için tek başına güvenilir değildir. Magic Bytes ise PDF, PNG, JPEG, ZIP tabanlı Office belgesi veya çalıştırılabilir dosya gibi bazı formatların başlangıç imzasını gösterir.
Uzantı .jpg iken imza PDF ya da yürütülebilir dosya gösteriyorsa tür uyuşmazlığı önemli bir bulgudur. Yine de poliglot dosyalar ve bozuk/özel formatlar basit imza kurallarını yanıltabilir. İmza kontrolü tam bir ayrıştırıcı veya sandbox değildir.
- Uzantıyı kullanıcı arayüzü ipucu olarak görün.
- MIME başlığına güvenlik kanıtı gibi davranmayın.
- İmzayı dosya türü allowlist'iyle karşılaştırın.
- Uyuşmazlığı otomatik çalıştırmayı durduran bir sinyal yapın.
Sınırlı örnekleme neyi bulabilir?
Dosyanın ilk ve son bölümlerini metin olarak örneklemek PowerShell encoded command, script etiketi, makro ilişki adı veya shebang gibi açık işaretleri yakalayabilir. Boyut sınırı ve örnekleme, büyük dosyanın tamamını belleğe almadan hızlı triyaj sağlar.
Bu yöntem arşiv içindeki sıkıştırılmış içeriği, şifrelenmiş payload'u, obfuscation'ı veya örneklenmeyen orta bölümü kaçırabilir. Entropi yüksekliği sıkıştırma ya da şifrelemeyi düşündürebilir; zararlılık sonucu değildir. 'Bulgu yok' ifadesi 'dosya güvenli' anlamına gelmez.
Güvenli karar akışı
Şüpheli dosyayı açmayın, önizlemeyin veya makrolarına izin vermeyin. Kaynağı doğrulayın, dosyayı karantinada tutun ve güncel profesyonel anti-malware ya da kontrollü sandbox ile bağımsız inceleme yapın. Kurumsal ortamda güvenlik ekibinin olay prosedürü önceliklidir.
Yerel tarama gereksiz üçüncü taraf yüklemesini önler; buna rağmen dosya seçildiğinde tarayıcı belleğinde okunur. Kişisel veya ticari sır içeren dosyaları yalnızca yetkiniz varsa işleyin. SHA-256 özeti dosyanın bütünlüğünü karşılaştırabilir fakat kimliğini, kaynağını veya güvenliğini doğrulamaz.
Kaynaklar ve doğrulama
Bu rehber hazırlanırken aşağıdaki birincil ve resmî belgeler kontrol edildi. Bağlantıların güncel sürüm ve değişiklik tarihlerini ayrıca inceleyin.
İçerik, görünür ByteQuant ürün davranışı ve varsa listelenen birincil kaynaklarla karşılaştırılarak hazırlanır. Genel bilgilendirmedir; hukuki veya güvenlik danışmanlığı değildir.