È necessario aggiornare EICAR per verificare la revisione del sistema antivirus?

3

Sto postando questo qui da quando i programmatori scrivono virus e software AV. Hanno anche la migliore conoscenza dell'euristica e di come funzionano i sistemi AV (cloaking ecc.)

Il file di test EICAR è stato utilizzato per testare funzionalmente un sistema antivirus. Così com'è oggi quasi ogni sistema AV contrassegnerà EICAR come un virus "di prova". Per ulteriori informazioni su questo storico virus di test, fai clic qui .

Attualmente il EICAR file di test è valido solo per testare la presenza di una soluzione AV , ma non controlla il file del motore o il file DAT up-to-dateness . In altre parole, perché eseguire un test funzionale di un sistema che potrebbe avere file di definizione che hanno più di 10 anni. Con l'aumento delle minacce zero day non ha molto senso testare funzionalmente il tuo sistema usando EICAR.

Detto questo, ritengo che EICAR debba essere aggiornato / modificato per essere un test efficace che funzioni insieme a una soluzione di gestione AV. Questa domanda riguarda i test del mondo reale , senza utilizzare virus in diretta ... che è l'intento dell'EICAR originale.

Detto questo, sto proponendo un nuovo formato di file EICAR con l'appendice di un BLOB XML che causerà la risposta del motore antivirus condizionatamente.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey> 

In questo esempio, il motore antivirus dovrebbe solo allertare sul file EICAR se la firma o il file del motore è uguale o più recente della data di scadenza valida. Inoltre, esiste un passcode che protegge l'utilizzo di EICAR dall'amministratore di sistema.

Se si dispone di un backgound nel TDD "Test Driven Design" per il software si può ottenere che tutto ciò che sto facendo è applicare i principi di TDD alla mia infrastruttura.

In base alla tua esperienza e ai tuoi contatti, come posso realizzare questa idea?

    
posta random65537 09.09.2010 - 19:31
fonte

2 risposte

3

Come hai detto nella domanda, dovrebbe funzionare in congiunzione con una soluzione AV. Affinché ciò accada, è necessario scrivere un motore AV o entrare in contatto con un fornitore AV esistente.

Se esistesse una cosa del genere ... Da dove viene il beneficio? Sto solo pensando al difensore del diavolo qui .. Il motore AV non potrebbe segnalare solo quando il database è stato aggiornato?

    
risposta data 09.09.2010 - 20:46
fonte
1

Esistono già prodotti che lo fanno. Ma richiedono una conoscenza dettagliata:

  • quale prodotto AV esiste
  • quali versioni sono disponibili
  • quali di queste versioni sono aggiornate
  • quali identità di rilevamento sono disponibili
  • quali di questi devono essere installati su un sistema aggiornato

E il modo di comprenderlo dipende molto dal rivenditore AV. Pertanto, si tende a scoprire che la funzionalità è limitata alla console del fornitore AV o alle società di gestione che hanno grandi gruppi di dipendenti che non fanno altro che scoprire quale software sia aggiornato.

    
risposta data 17.02.2011 - 13:02
fonte

Leggi altre domande sui tag