WikiDer > Тестовый файл EICAR

EICAR test file

В Тестовый файл антивируса EICAR[1] или Тестовый файл EICAR это компьютерный файл, разработанный Европейский институт компьютерных антивирусных исследований (EICAR) и Организация компьютерных антивирусных исследований (CARO), чтобы проверить реакцию компьютера антивирус (AV) программы.[2] Вместо использования реальных вредоносных программ, которые могут нанести реальный ущерб, этот тестовый файл позволяет людям тестировать антивирусное программное обеспечение без использования настоящего Компьютерный вирус.[3]

Программисты антивируса устанавливают строку EICAR как проверенный вирус, как и другие идентифицированные сигнатуры. Соответствующий антивирусный сканер при обнаружении файла отреагирует более или менее так же, как если бы он обнаружил вредоносный вирус. Не все антивирусные программы совместимы и могут не обнаружить файл, даже если они правильно настроены. Ни способ обнаружения файла, ни формулировка, с помощью которой он помечен, не стандартизированы и могут отличаться от способа, которым помечается реальная вредоносная программа, но должны препятствовать его запуску, если он соответствует строгой спецификации, установленной Европейский институт компьютерных антивирусных исследований.[4]

Использование тестовой строки EICAR может быть более универсальным, чем простое обнаружение: файл, содержащий тестовую строку EICAR, может быть сжатый или в архиве, а затем можно запустить антивирусное программное обеспечение, чтобы проверить, может ли оно обнаружить тестовую строку в сжатом файле. Многие из AMTSO Проверки настроек функций[5] основаны на тестовой строке EICAR.[5]

дизайн

Файл текстовый файл от 68 до 128 байты[6] это законный .com исполняемый файл файл (простой x86 Машинный код), которым может управлять MS-DOS, некоторые работы и его преемники OS / 2 и Windows (кроме 64-битной из-за 16-битных ограничений). При запуске тестовый файл EICAR напечатает "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" а потом остановится. Тестовая строка была написана известными антивирусными исследователями. Пэджетт Петерсон и Пол Даклин и спроектированный состоять из ASCII удобочитаемые символы, легко создаваемые с помощью стандартной компьютерной клавиатуры.[7] Он использует самомодифицирующийся код чтобы обойти технические проблемы, которые это ограничение накладывает на выполнение тестовой строки.[8]

Строка теста EICAR[9] читает:[10]

X5O! P% @ AP [4  PZX54 (P ^) 7CC) 7} $ EICAR-СТАНДАРТ-АНТИВИРУС-ТЕСТ-ФАЙЛ! $ H + H *

ПРИМЕЧАНИЕ. Третий символ - это заглавная буква «О», а не цифра ноль.

Строка хеш-значения (68 байтов без символа новой строки в конце) выглядят следующим образом:

Тип хешаЦенность
CRC326851cf3c
MD544d88612fea8a8f36de82e1278abb02f
SHA13395856ce81f2b7382dee72602f798b642f14140
SHA224b42ec8b47deb2dc75edebd01132d63f8e8d4cd08e5d26d8bd366bdc5
SHA256275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f
SHA384038f2e50e33dacef50d7e503b45c3525fcdbe89a823f9c4417d7c13e8e96a53dd6bd6d7fcc91189c5cda7253f4455106
SHA512cc805d5fab1fd71a4ab352a9c533e65fb2d5b885518f4e565e68847223b8e6b85cb48f3afad842726d99239c9e36505c64b0dc9a061d9e507d833277ada336ab

Принятие

Разработчики одного антивирусного ПО, Malwarebytes, заявили, что они не добавляли тестовый файл EICAR в свою базу данных, потому что «добавление фальшивых вредоносных программ и тестовых файлов, таких как EICAR, в базу данных, отнимает время от исследования вредоносных программ и ничего не доказывает в долгосрочной перспективе».[11][12]

Согласно спецификации EICAR, антивирус обнаруживает тестовый файл, только если он начинается с 68-байтовой тестовой строки и имеет длину не более 128 байт. В результате не ожидается, что антивирусы поднимут тревогу в каком-либо другом документе, содержащем тестовую строку.[13] Тестовый файл все еще может использоваться в некоторых вредоносных целях, используя реакцию антивирусного программного обеспечения:

Смотрите также

использованная литература

  1. ^ "Ваш антивирус работает?". PCMAG. Получено 2017-04-17.
  2. ^ Хэй, Ричард (2016-09-12). «Как: протестировать сценарий обнаружения фильтра SmartScreen и Защитника Windows». IT Pro сегодня. Получено 2019-07-03.
  3. ^ Гесс, Кен. «Первые впечатления от 360 Total Security Anti-virus: освежающе тонкий, но тщательный | ZDNet». ZDNet. Получено 2017-04-17.
  4. ^ «Использование и неправомерное использование тестовых файлов при тестировании защиты от вредоносных программ» (PDF). AMTSO. 2012-02-24. Получено 2019-07-03.
  5. ^ а б «Инструменты проверки функций безопасности AMTSO». AMTSO.
  6. ^ Виллемс, Эдди (июнь 2003 г.). «Ветры перемен: обновления тестового файла EICAR» (PDF). Бюллетень вирусов.
  7. ^ Виллемс, Эдди. "История тестового файла EICAR" (PDF). Эйкар - Европейская группа экспертов по ИТ-безопасности. Получено 9 мая 2020.
  8. ^ «Анатомия тестового файла антивируса EICAR». Обновления NinTechNet и объявления безопасности.
  9. ^ «ЭЙКАР-СТАНДАРТ-АНТИВИРУС-ТЕСТ-ФАЙЛ». Получено 21 июля, 2019.
  10. ^ «Профиль вируса: тестовый файл EICAR». McAfee. Архивировано 05 февраля 2009 г.. Получено 9 мая 2020.CS1 maint: неподходящий URL (ссылка на сайт)
  11. ^ «Malwarebytes не может обнаружить тестовый вирус EICAR». Форумы о Malwarebytes.
  12. ^ «Malwarebytes 3 - Часто задаваемые вопросы». Форумы о Malwarebytes.
  13. ^ "Загрузить тестовый файл защиты от вредоносных программ - Eicar" (на немецком).
  14. ^ «Использование (почти) любого антивирусного программного обеспечения - RACK911 Labs».
  15. ^ «Тест EICAR QR».

внешние ссылки