Total Commander

[Kick10]

Контентный плагин, с джентельменским набором функций для определения вредоносного ПО

Умеет определять исполняемые файлы Windows PE, в не зависимости от их расширения и показывать о них следующую информацию:
- является ли файл упакованным или зашифрованным(определяет эвристически)
- валидность цифровой подписи
- имя PE секции в который находится точка входа(полезно для определения заражения файловыми вирусами)
- список PE секций и их энтропия в процентах
- наличие у файла информации о версии и создателе(саму информацию не отображает, только сам факт ее наличия для удобства расширенного поиска)
- краткую информацию о использовании файлом определенных winapi-функций(работает ли файл с сетью, файлами, реестром, процессами). Здесь анализируется таблица импортов, так что динамически загружаемые библиотеки не учитываются. Список проверяемых api функций можно редактировать в файле funcgroups.json
- детект файла антивирусами. Плагин пробивает детект файла по md5 используя сервисы hxxp://www.virustotal.com(проверка 50+ антивирусами). Эта функция может работать очень медленно при плохом интернет соединении. Детекты кешируются на компьютере пользователя, если нужно пересканировать файлы, то нужно самому удалить файл кеша "verdicts" в папке плагина.
Так же можно использовать колонки плагина для расширенного поиска и подсветки файлов.

Пожалуйста про баги сообщайте сюда.