Qual è lo scopo di EICAR?

Penso che la principale motivazione per creare Eicar sia stata questa: fermare le persone casuali che imploravano i fornitori di antivirus per i campioni di virus sul pretesto di testare la propria installazione dello scanner dei virus.

Un nuovo test che assicura che le firme siano aggiornate, sembra interessante. Suggerisco, tuttavia, di non usare il file Eicar originale per questo, ma qualcosa di diverso. In questo modo puoi essere sicuro che l'algoritmo di scadenza è implementato, a meno che il venditore non giochi fallo. L'utilizzo di file giornalieri / settimanali pubblicati potrebbe essere ancora migliore, ma ciò comporta molti costi aggiuntivi.

Lo scopo di EICAR è di fornire un file cross-vendor che verrà rilevato come virus. Perché? Bene, immagina di creare un'applicazione web che permetta ai contenuti caricati dagli utenti, per esempio. In questa soluzione, poiché si è attenti alla sicurezza, è possibile eseguire la scansione dei file caricati e rimuovere i file dannosi prima di diffonderli ad altri utenti nella base utenti. Molti produttori di antivirus forniscono eseguibili e soluzioni da riga di comando che possono farlo; quello di cui hai bisogno, come ingegnere del software, è qualcosa con cui testare questa costruzione, sia automaticamente come parte del collaudo di unità / funzionalità / UI o semplicemente semplice test "ha funzionato".

Immettere il file di test EICAR: un file che tutti i fornitori di virus hanno concordato produrrà una risposta positiva. Come la pagina di destinazione d'uso lo mette:

Using real viruses for testing in the real world is rather like setting fire to the dustbin in your office to see whether the smoke detector is working. Such a test will give meaningful results, but with unappealing, unacceptable risks.

Since it is unacceptable for you to send out real viruses for test or demonstration purposes, you need a file that can safely be passed around and which is obviously non-viral, but which your anti-virus software will react to as if it were a virus.

La mia comprensione è che non si utilizza il file di test EICAR per controllare lo stato dei prodotti antivirus e quanto sono aggiornati; li usi per testare, in scenari di integrazione, un caso in cui il malware esiste senza utilizzare malware reale e reale.

Lo scopo di EICAR non è quello di testare quanto bene sia la soluzione AV a rilevare i virus - perché è uno standard di vecchia data, assumiamo che tutto ciò che si considera AV lo catturerà. Lo scopo di testare cosa fa la soluzione AV quando determina una corrispondenza positiva contro un virus.

Puoi avere una soluzione configurata in modo che invii e-mail ogni volta che prende qualcosa - ma forse hai inserito il gateway di posta sbagliato, o forse nessuno ha aggiunto l'indirizzo delle soluzioni AV alla whitelist di invio SMTP. Come farai a sapere se la tua segnalazione funziona? Solo testando, e come Ninefingers ha sottolineato, è molto meno difficile mettersi alla prova con qualcosa che a) sai che "colpirà" e b) sai che non esploderà in faccia.

È solo una spia di accensione / spegnimento, come il LED che indica che il computer è acceso. Ma nessuno si aspetta che sia un buon indicatore, proprio come il LED non può sapere se il tuo computer si è schiantato.

Ha una miriade di usi. Ad esempio, lo invii tramite il tuo gateway di posta elettronica per vedere se è bloccato. Poi lo fai ZIP per vedere se è bloccato. Quindi fai di nuovo ZIP sul file ZIP, 100 volte di seguito, per rilevare se è ancora bloccato. Stai testando una funzionalità, come n-level-deep-zip, non la qualità del rilevamento dei virus.