Hämta Anti Malware Testfile – Eicar
Ytterligare anmärkningar:
- den här filen brukade namnges ducklin.htm eller ducklin-html.htm eller liknande baserat på sin ursprungliga författare Paul Ducklin och gjordes i samarbete med CARO.
- definitionen av filen har förfinats 1 maj 2003 av Eddy Willems i samarbete med alla leverantörer.
- innehållet i denna dokumentation (endast Titel) anpassades den 1 September 2006 för att lägga till verifiering av aktiviteten hos anti-malware eller anti-spyware-produkter. Det beslutades att inte ändra filen själv av bakåtkompatibilitetsskäl.,
vem behöver Anti-Malware Testfile
(Läs hela texten, Den innehåller viktig information)
Version av 7 September 2006
om du är aktiv i anti-virus forskningsfält, då du kommer regelbundet att få förfrågningar om virusprover. Vissa förfrågningar är lätta att hantera: de kommer från medforskare som du känner väl och som du litar på. Med hjälp av stark kryptering kan du skicka dem vad de har bett om av nästan vilket medium som helst (inklusive över Internet) utan någon verklig risk.
andra förfrågningar kommer från personer som du aldrig hört från tidigare., Det finns relativt få lagar (även om vissa länder har dem) förhindra säker utbyte av virus mellan samtyckande individer, även om det är klart oansvarigt för dig att helt enkelt göra virus tillgängliga för alla som frågar. Ditt bästa svar på en begäran från en okänd person är helt enkelt att avböja artigt.
en tredje uppsättning förfrågningar kommer från exakt de personer du kanske tror skulle vara minst benägna att vilja ha virus ”användare av antivirusprogram”., De vill ha något sätt att kontrollera att de har distribuerat sin programvara korrekt, eller att medvetet generera en ”virusincident för att testa sina företagsförfaranden, eller att visa andra i organisationen vad de skulle se om de drabbades av ett virus”.
skäl för att testa antivirusprogram
självklart finns det betydande intellektuella skäl för att testa antivirusprogram mot riktiga virus. Om du är en antivirusleverantör, gör du det här (eller borde göra det!) före varje release av din produkt, för att säkerställa att det verkligen fungerar., Men det gör du inte (eller borde inte!) utför dina tester i en” riktig ” miljö. Du använder (eller ska använda!) en säker, kontrollerad och oberoende laboratoriemiljö där din virussamling upprätthålls.
att använda riktiga virus för att testa i den verkliga världen är ganska som att sätta eld på soptunnan på ditt kontor för att se om rökdetektorn fungerar. Ett sådant test kommer att ge meningsfulla resultat, men med obehagliga, oacceptabla risker.,
eftersom det är oacceptabelt för dig att skicka ut riktiga virus för test-eller demonstrationssyfte, behöver du en fil som säkert kan skickas runt och som uppenbarligen är icke-viral, men som din antivirusprogram kommer att reagera på som om det vore ett virus.
om testfilen är ett program ska den också ge förnuftiga resultat om det körs. Också, eftersom du förmodligen vill undvika att skicka en pseudo-viral fil tillsammans med din anti-virus produkt, din testfil bör vara kort och enkel, så att dina kunder enkelt kan skapa kopior av det för sig själva.,
den goda nyheten är att en sådan testfil redan finns. Ett antal antivirusforskare har redan arbetat tillsammans för att producera en fil som deras (och många andra) produkter ”upptäcker” som om det var ett virus.
att komma överens om en fil för sådana ändamål förenklar frågor för användarna: tidigare hade de flesta leverantörer sina egna pseudo-virala testfiler som deras produkt skulle reagera på, men vilka andra produkter skulle ignorera.,
Anti-Malware Testfile
denna testfil har lämnats till EICAR för distribution som ”EICAR Standard anti-Virus Test File”, och det uppfyller alla kriterier som anges ovan. Det är säkert att passera runt, eftersom det inte är ett virus och innehåller inga fragment av viral kod. De flesta produkter reagerar på det som om det var ett virus (även om de vanligtvis rapporterar det med ett uppenbart namn, till exempel ”EICAR-av-Test”).
filen är ett legitimt DOS-program och ger förnuftiga resultat när de körs (det skriver ut meddelandet ”EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”).,
det är också kort och enkelt – det består faktiskt helt av utskrivbara ASCII-tecken, så att det enkelt kan skapas med en vanlig textredigerare. Alla anti-virus produkt som stöder EICAR testfilen ska upptäcka det i en fil förutsatt att filen börjar med följande 68 tecken, och är exakt 68 byte lång:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FIL!$H+h*
de första 68 tecknen är den kända strängen. Det kan eventuellt bifogas av en kombination av blanktecken med den totala fillängden som inte överstiger 128 tecken., De enda blanktecken som tillåts är mellanslagstecknet, fliken, LF, CR, CTRL-Z. För att hålla det enkelt använder filen endast versaler, siffror och skiljetecken och innehåller inte mellanslag. Det enda du behöver se upp för när du skriver i testfilen är att det tredje tecknet är bokstaven ”O”, inte siffran noll.
du uppmanas att använda EICAR-testfilen. Om du är medveten om människor som letar efter riktiga virus ”för teständamål”, ta testfilen till deras uppmärksamhet., Om du är medveten om personer som diskuterar möjligheten till en branschstandard testfil, berätta om www.eicar.org, och peka dem på den här artikeln.