病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« eeCtrl.sys所谓杀软评测与参考 »

误导:这段代码真的就能测试杀毒软件的能力?

  代码:X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  上面这段代码相信常访问IT网站或社区的网友们并不陌生,而且往往被灌上神秘的色彩,将这段代码复制到Google的搜索框,敲回车,有41000个网页收录了这样的信息,其中首当其冲的就是太平洋和中关村,然后太平洋的出处表明是网易,作者是佚名;然后中关村的出处又是hacker.cn,又不清楚这个网易和hacker.cn的出处又是哪里了??这个和很多假新闻类似。

  我们再来看看他通常的内容是:

====================================

  下面这段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里。
  我们可以用做测试病毒扫描引擎。感谢欧洲计算机防病毒协会提供本测试病毒代码。

  注:本代码无任何危险,尽管测试。

  测试代码:

  X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  测试方法:

  1.鼠标右键点击桌面空白处,创建一个“文本文档”。

  2.将上面的这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描。也可以等一会,如果你的杀毒软件还行,会自动报毒并将该文本删除,那就可以初步放心了。

  测试等级:

  特等:复制完代码后便提示内存有病毒

  优等:刚保存完就提示病毒(或者直接删除)

  中等:保存后几秒提示病毒(或者直接删除)

  下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)

  劣等:无论怎么扫描都无法提示病毒(或者直接删除)

  笔者的诺顿在保存完后立刻出现警告框,并成功将“病毒”文件删除,你用的杀毒软件对这段代码的反应又如何呢?

====================================

  而事实上并不是这么回事,打开你的正版瑞星的说明书,打开你正版赛门铁克的说明书,打开麦咖啡的说明文档都可以找到这样一段说明,这里摘自麦咖啡的说明文档:

====================================

测试安装

  可以通过在已经安装本软件的任何计算机上运行 EICAR(European Insitute for Computer Anti-Virus Research) 标准防病毒测试文件,测试软件的运行情况。 EICAR 标准防病毒测试文件是全世界防病毒产品厂商共同努力的成果,它使客户可以按照统一的标准验证其安装的防病毒产品。

  要对安装进行测试,请执行下列操作:
1.   将以下行复制到其自身所在的文件中,确保不含任何空格或换行符。 使用名称 EICAR.COM 保存该文件。
          X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
      文件大小为 68 或 70 字节。
2.   启动防病毒软件,让它扫描 EICAR.COM 所在的目录。软件扫描该文件时,会报告已找到 EICAR 测试文件。
3.   在测试安装完成时删除该文件,以避免对信任的用户发出警告。

重要信息:请注意,此文件并非病毒。
    
有关 EICAR 测试文件的详细信息,请访问:
          http://www.eicar.org

====================================

  看清楚了吧?这段代码本身不是病毒,而且这段代码写的很清楚,这是EICAR 标准防病毒测试文件,他的作用就是你在部署完杀毒软件后检测杀软是否真正的起到作用,因为杀软在某些环境下安装杀软后图标等显示都是开启并实时监控的,但事实上他可能某个模块出问题了,并没有实时监控保护你的电脑,而你使用这段代码就可以检测出你的杀软是否正在正常的运转。并没有那个所谓的测试等级的说法,这是全世界的杀毒软件都具备检测的能力的一段通用测试代码,如果检测不到,只能说明你的杀软没有正常运行或者说你所用的杀软没有遵循这个EICAR 标准,毕竟他是全世界防病毒产品厂商共同努力的成果,你就得考虑是否换掉你的杀软了。

  仅仅凭复制完代码就内存报毒而说明这个杀软检测能力很强的说法是完全错误的。

  首先我们从上面知道这是一段用于测试的代码,每个杀软对他的检测有自己的标准,因为他本身不是病毒,只要你在按标准操作,不管你是复制也好,保存了也好还是手动扫描了也好,他的最终结果是发出警告信息。因为他的作用,所以每个杀软有他的警告方式。比如说,据说瑞星2007是复制完就报警的,说明瑞星为了方便用户,复制完就提示出检测结果,表明杀软是运行正常的,而麦咖啡是需要保存后才提示警告,这个方式和麦咖啡说明文档中的提示是符合的。而赛门铁克就需要你保存后再扫描才提示!       

  其实这和每个杀软的检测方面是不一样的,瑞星他就检测内存,其实我们都知道瑞星的内存检测是很强的,只要他的病毒库有这个病毒的特征码,在内存运行就给你干掉了,而麦咖啡侧重于实时监控上,可能就需要你选中病毒文件后他才开始检测,这种方式并不影响他对病毒的检测能力,恰到好处的是节省了实时监控占用的资源,又能起到保护作用。再说这个赛门铁克,他就比较软绵绵的,你不运行那病毒他就不提示,他就需要扫描的时候才去检测,而他旗下的诺顿就不一样了,诺顿可不是软绵绵的,怎么说也是诺顿安全特警嘛,处理能力绝对不逊于卡巴斯基。

  所以这个流传甚广的一段代码,改了无数个标题的帖子已经完全误导大家了,他仅仅是一个世界各大杀软厂商用于给客户测试杀软是否正常运行的代码,而靠这个来判断杀软高低完全就是无稽之谈,没有任何根据的。

  EICAR 标准防病毒测试文件的官方说明请参考:http://www.eicar.org/anti_virus_test_file.htm

本文来源:网络


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/126.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号