EICAR 測試文件用於對防毒系統進行功能測試。就目前情況而言,幾乎每個防毒系統都會將 EICAR 標記為「測試」病毒。有關這一歷史性測試病毒的更多信息,請點擊這裡。
目前伊卡測試文件僅適用於測試在場AV 解決方案,但它不檢查引擎文件或 DAT 文件最新性。換句話說,為什麼要對可能具有 10 多年歷史的 DAT 檔案的系統進行功能測試呢?隨著每天發布的病毒數量的增加,隨著時間的推移,EICAR 簽名失去了作為測試工具的價值。
話雖這麼說,我認為 EICAR 需要更新/修改才能成為與 AV 管理解決方案結合使用的有效測試。
serverfault 上的一些人回答了這個問題的早期修訂。
致回答者:請大家重點關註一下:
這個修改後的問題是關於 測試 AV 系統的功能。
請不要回覆管理解決方案,因為它們不會測試已部署的內容和現場情況。管理解決方案報告可能存在這樣或那樣的缺陷,例如:有時,由於操作員錯誤,一台機器可能未包含在常規 AV 管理中。有時 AV 由不同的公司或團體管理。無論您對「管理」持何種立場,恕我直言,這都不算是部署後「測試」。這個問題是關於現實世界的測試,不使用活病毒......這是最初的 EICAR 的意圖。
我提議一種新的 EICAR 檔案格式,帶有 XML blob 附件,該格式將有條件地導致防毒引擎做出回應。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey>
在此範例中,只有當簽名或引擎檔案等於或晚於有效起始日期時,防毒引擎才會對 EICAR 檔案發出警報。還有一個密碼可以保護系統管理員對 EICAR 的使用。
如果您有軟體「測試驅動設計」TDD 的背景,您可能會發現我所做的就是將 TDD 原理應用到我的基礎架構中。
根據您的經驗和聯繫,我怎麼能實現這個想法?
答案1
您所追求的(在不受您控制的系統環境中)不可能僅僅因為它會針對防毒軟體本身打開另一個漏洞而變得可行。即可以探測系統以確定它是否能夠檢測最新的病毒。如果測試失敗,病毒可能會在不被發現的情況下傳播出去,而不會引起過度懷疑。
至於EICAR測試,現在是時候放棄了。我見過的大多數防毒軟體要么是硬編碼來檢測它的,要么是有簽名的,這使得「測試」毫無價值。
答案2
我懷疑業界是否會每月為您製作一份新的 EICAR 文件。這是浪費時間和資源。解決您的問題的方法是購買像 Symantec 或 Sophos 這樣的集中式防毒軟體,這樣您就可以執行報表並查看哪些客戶端需要更新。
答案3
EICAR 檔案本身不會測試是否有防毒軟體。它很容易用作測試目的的工具(因此您不知道針對活病毒進行測試)。
有很多方法可以監控和管理引擎和定義更新(我假設您正在使用 McAfee,因為您使用的是 DAT 術語)
每個企業防毒軟體都有一個可用的中央管理控制台。對於 McAfee,請查看 ePolicy Orchestrator(或任何當前的 SMB 軟體名稱)。
答案4
上面的答案將您引向集中管理控制台。這通常是最好的答案。我同意你關於被動監控的觀點,但我認為你有點偏離事實。我使用過的中央解決方案並不假設客戶端已獲得更新;而是假設客戶端已獲取更新。他們用客戶所說的定義日期/版本更新控制台中的資訊。這與您以其他方式詢問客戶端電腦一樣準確。事實上,可能發生的最糟糕的情況是控制台發生故障,仍然發送更新的 DAT,但丟失了來自客戶端的返回通信,並且控制台中顯示的定義日期比客戶端實際的定義日期更舊。
但是,如果您無法做到這一點(機器在部署後將不再受您的控制等),那麼您可以嘗試找出您使用的 AV 軟體保存該資訊的位置。
當我必須為 SAV CE 執行此操作時,您可以查詢客戶端電腦的註冊表以查找當前的 AV 定義版本,我認為還有日期。對於 McAfee DAT 文件,您也許能夠找到 DAT 的保存目錄,並使用腳本來查找該目錄中最新 DAT 文件的建立或上次修改日期。