Sto postando questo qui da quando i programmatori scrivono virus e software AV. Hanno anche la migliore conoscenza dell'euristica e di come funzionano i sistemi AV (cloaking ecc.)
Il file di test EICAR è stato utilizzato per testare funzionalmente un sistema antivirus. Così com'è oggi quasi ogni sistema AV contrassegnerà EICAR come un virus "di prova". Per ulteriori informazioni su questo storico virus di test, fai clic qui .
Attualmente il EICAR file di test è valido solo per testare la presenza di una soluzione AV , ma non controlla il file del motore o il file DAT up-to-dateness . In altre parole, perché eseguire un test funzionale di un sistema che potrebbe avere file di definizione che hanno più di 10 anni. Con l'aumento delle minacce zero day non ha molto senso testare funzionalmente il tuo sistema usando EICAR.
Detto questo, ritengo che EICAR debba essere aggiornato / modificato per essere un test efficace che funzioni insieme a una soluzione di gestione AV. Questa domanda riguarda i test del mondo reale , senza utilizzare virus in diretta ... che è l'intento dell'EICAR originale.
Detto questo, sto proponendo un nuovo formato di file EICAR con l'appendice di un BLOB XML che causerà la risposta del motore antivirus condizionatamente.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey>
In questo esempio, il motore antivirus dovrebbe solo allertare sul file EICAR se la firma o il file del motore è uguale o più recente della data di scadenza valida. Inoltre, esiste un passcode che protegge l'utilizzo di EICAR dall'amministratore di sistema.
Se si dispone di un backgound nel TDD "Test Driven Design" per il software si può ottenere che tutto ciò che sto facendo è applicare i principi di TDD alla mia infrastruttura.
In base alla tua esperienza e ai tuoi contatti, come posso realizzare questa idea?