| |
 |
| Spaß mit der EICAR-Test-Datei |
|
|
Veröffentlicht durch XTaran am Mittwoch 02. Juli, 08:23
Aus der Mutanten Abteilung
|
|
|
|
|
Auf BugTraq hat jemand vor kurzem einen netten Beitrag über das EICAR-Test-File geschrieben. Dabei handelt es sich um eine Test-Datei, auf die jedes Anti-Viren-Programm anspringen sollte, sodaß man damit die Einsatzbereitschaft von Anti-Viren-Software überprüfen kann. Der Beitrag beschreibt die Anforderungen, die der Entwickler Paul Ducklin damals an sich stellte und zeigt mittels einer kommentierten Disassemblierung, wie dieses ausführbare DOS-Programm funktioniert und trotzdem den Anforderungen (u.a. besteht das Binary nur aus lesbaren ASCII-Zeichen) nachkommt. Und dann geht der Spaß los: Was passiert wohl, wenn man die Testdatei ein bißchen abändert?!?
|
|
|
|
< Tony Blairs Vorliebe für Microsoft ein Bumerang? | Druckausgabe | Linux als Standard-Plattform > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Worum soll ein AV-Programm dies als Virus erkennen,
doch wohl nur weil es diesen String als bekanntes
Virus gespeichert hat. Damit lässt sich dann wohl
nichts darüber aussagen ob es auch korrekt auf ein
wirkliches Virus reagieren würde.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmpf. Es geht darum, zu testen ob die Dateizugriffs-Scanner/Wächter/whatever aktiv sind (mein Scanner in der Bude hats gemerkt), mehr nicht. Ob der Scanner auf ein neues, heuristisch nicht feststellbares Virusprogramm anspringt ist eh nie gegeben. Ich frage mich grad ernsthaft, ob du die Story überhaupt gelesen hast ;-)
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
|
|
|
|
|
|
Eben. Und das ist auch die Kritik, die es auf BugTraq bzgl. den Tests nach Modifikationen von der EICAR-Test-Date zu dem Artikel gab. Trotzdem zeigt der Artikel aber, wie AV-Programme funktionieren. Auch wenn sie EICAR.com nicht wirklich wie ein Virus behandelt, sondern halt nur wie ein Test, der zeigt, ob sie aktiv sind.
--
There is no place like $HOME.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 02. July, 15:21 MES (#4)
|
|
|
|
|
Die Testdatei macht ja nichts schlimmes.
Ein Virenscanner, dessen heuristik darauf anspringt, wäre ja total unbrauchbar.
Hingegen ist es klar, dass die Unveränderte datei als 'virus' erkannt wird, da es ein bekannter test ist (und der scanner ev. irgendwas wie md5sum davon gespeichert hat..)
|
|
|
|
|
|
|
