Bent u actief in de anti-virus onderzoek veld, dan krijgt u regelmatig verzoeken om virus samples. Sommige verzoeken zijn gemakkelijk om te gaan met: ze komen van collega-onderzoekers die u goed kent en die u vertrouwt. Met behulp van sterke encryptie, kunt u hen wat zij hebben gevraagd door bijna elk medium (ook via het internet) zonder enig reëel risico.

Andere verzoeken komen van mensen die je nog nooit gehoord van tevoren. Er zijn relatief weinig wetten (hoewel sommige landen hebben ze) het voorkomen van de beveiligde uitwisseling van virussen met wederzijds goedvinden tussen individuen, maar het is duidelijk onverantwoord voor u eenvoudig om virussen beschikbaar voor iedereen die er om vraagt. Uw beste antwoord op een verzoek van een onbekend persoon is gewoon beleefd weigeren.

Een derde reeks verzoeken komen van precies de mensen die je zou kunnen denken zou zijn minst waarschijnlijk te willen virussen "gebruikers van anti-virus software".

Ze willen een manier om te controleren dat ze hun software goed ingezet, of van het opzettelijk genereren van een "virus incident om hun corporate procedures te testen, of van anderen te laten zien in de organisatie wat ze zouden zien als ze getroffen door een virus".

Het is duidelijk dat er aanzienlijke intellectuele rechtvaardiging voor het testen van anti-virus software tegen echte virussen. Als u een anti-virus leverancier, dan doe je dit (of zou het moeten doen!) Vóór elke release van uw product, om te voorkomen dat het echt werkt te verzekeren. Echter, u niet (of niet mag!) Uit te voeren van uw tests in een "echte" omgeving. U gebruikt (of moet gebruiken!) Een veilige, gecontroleerde en onafhankelijk laboratorium omgeving waarbinnen uw virus collectie wordt gehandhaafd.

Gebruik van echte virussen voor het testen in de echte wereld is een beetje zoals het in brand steken om de vuilnisbak in uw kantoor om te zien of de rookmelder werkt. Zo'n test geeft zinvolle resultaten, maar met onaantrekkelijke, onaanvaardbare risico's.

Aangezien het is onaanvaardbaar dat u voor het verzenden van echte virussen voor test-of demonstratie doeleinden, moet je een bestand dat veilig kan worden doorgegeven rond en dat is natuurlijk niet-virale, maar die uw anti-virus software zal reageren als ware het een virus.

Als uw test-bestand is een programma, dan moet produceren ook verstandig resultaten als deze wordt uitgevoerd. Ook, omdat je waarschijnlijk wilt vermijden scheepvaart een pseudo-virale bestand samen met uw anti-virus product, moet je testbestand kort en eenvoudig, zodat uw klanten gemakkelijk kunnen kopieën van het te creëren voor zichzelf.

Het goede nieuws is dat een dergelijke test bestand al bestaat. Een aantal anti-virus onderzoekers hebben al samengewerkt om een ​​bestand te maken dat hun (en vele andere) producten "detecteren" alsof het een virus.

Bereiken van overeenstemming over een bestand voor dergelijke doeleinden vereenvoudigt de zaken voor de gebruiker: in het verleden, de meeste verkopers hadden hun eigen pseudo-virale testbestanden die hun product zou reageren, maar die andere producten zouden negeren.

Deze test bestand is geeft de gebruiker een voor uitkering als de "Standaard Anti-Virus Test File", en het voldoet aan alle bovenstaande criteria. Het is veilig te passeren rond, want het is geen virus, en bevat geen fragmenten van de virale code. De meeste producten reageren alsof het een virus (al zijn ze meestal te melden met een duidelijke naam, zoals "EICAR-AV-Test").

Het bestand is een legitiem DOS-programma, en produceert verstandige resultaten wanneer deze wordt uitgevoerd (het afdrukken de melding "S4A-STANDARD-ANTIVIRUS-TEST-FILE!").

Het is ook kort en eenvoudig - in feite, bestaat volledig uit afdrukbare ASCII-tekens, zodat deze eenvoudig kan worden gemaakt met een gewone tekst editor. Een anti-virus product dat de test bestand ondersteunt moet detecteren in een bestand op voorwaarde dat het bestand begint met de volgende 68 tekens, en is precies 68 bytes lang:

X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ S4A-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *

De eerste 68 tekens is het bekende string. Het kan optioneel worden toegevoegd door een combinatie van whitespace tekens met de totale lengte van de file niet meer dan 128 tekens. De enige toegestane spaties zijn de spatie, tab, LF, CR, CTRL-Z. Zaken eenvoudig te houden van het bestand maakt alleen gebruik van hoofdletters, cijfers en leestekens, en geen spaties bevatten. Het enige wat om op te letten bij het typen in de test-bestand is dat het derde teken is een hoofdletter "O", niet het cijfer nul.

Je wordt aangemoedigd om het gebruik van het testbestand te maken. Als je je bewust bent van mensen die op zoek zijn naar echte virussen "voor test doeleinden", brengt het testbestand om hun aandacht. Als je je bewust bent van mensen die hebben het over de mogelijkheid van een industrie-standaard test bestand, vertel hen over www.eicar.org , en punt ze op dit artikel.

Om de verschillende scenario's te vergemakkelijken, bieden wij 4 bestanden om te downloaden. De eerste, eicar.com, bevat de ASCII-string als hierboven beschreven. Het tweede bestand, eicar.com.txt, is een kopie van dit bestand met een andere bestandsnaam. Sommige lezers melding gemaakt van problemen bij het downloaden van het eerste bestand, dat kan worden omzeild bij het gebruik van de tweede versie. Gewoon downloaden en hernoem het bestand naar "eicar.com". Dat zal het lukken. De derde versie bevat de test bestand in een zip ARCHIVEe. Een goede anti-virus scanner zal ter plaatse een 'virus' in een ARCHIVEe. De laatste versie is een zip-ARCHIVEes met het derde bestand. Dit bestand kan gebruikt worden om te zien of de virusscanner ARCHIVEes controles meer dan slechts een niveau diep.

Eenmaal gedownload run uw AV-scanner. Het moet detecteren in ieder geval het bestand "eicar.com". Goede scanners detecteert het 'virus' in de interne zip ARCHIVEe en kan zelfs in de dubbele rits ARCHIVEe. Zodra de scanner gedetecteerd kan niet toestaan ​​dat u geen toegang tot het bestand (en) meer. Je zou zelfs niet worden toegestaan ​​door de scanner om deze bestanden te verwijderen. Dit wordt veroorzaakt door de scanner die het bestand in quarantaine zet. De test bestand zal behandeld worden net als iedere andere echte virus geïnfecteerde bestand. Lees de handleiding van uw AV-scanner wat te doen of neem contact op met de leverancier / fabrikant van uw AV-scanner.

Download gebied met behulp van het standaard protocol http
eicar.com 68 Bytes	eicar.com.txt 68 Bytes	eicar_com.zip 184 Bytes	eicarcom2.zip 308 Bytes
Download gebied met behulp van de beveiligde, SSL-protocol https
eicar.com 68 Bytes	eicar.com.txt 68 Bytes	eicar_com.zip 184 Bytes	eicarcom2.zip 308 Bytes

Populariteit: [5% ? ]