我是靠谱客的博主 贪玩篮球,最近开发中收集的这篇文章主要介绍看反病毒专家对EICAR检测代码的专业解读,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

 

总有好事之人把“X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”这段文本奉为神灵,号称某个杀毒软件见到这段文本不报毒就是垃圾。

我在腾讯围脖搜索这段代码时发现,将其奉为神灵的“专业”人士还不在少数。

请看看从事杀毒软件设计开发达10年之久的反病毒专家是怎么看这问题的,这是他的微博地址:http://t.qq.com/roolce

 

 梅银明(@roolce) 引号内是一段流传甚广的“病毒”:"X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*",总会看到高手们拿着这个在各种论坛说,谁连这个不能查,谁能查这个,甚是牛逼。这究竟是个什么东东呢?

梅银明(@roolce) 这是一个远古时代的文件。作者是费了心思的,你看全是可打印字符,但是,这是一段可以执行的代码。前28个字符构成的汇编代码完成将寄存器设置成在调用INT 21时候,使用9号功能,dx指向29个字符开始的字符串,并将最后四个字节解密为CD 21 CD 20. 然后跳转到最后4个字节处。

梅银明(@roolce) 最后4个字节的汇编代码是INT 21,INT 20. 也就完成了对屏幕输出功能的调用,在屏幕上打印"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"这个字符串,并退出程序。当然,这是DOS环境下的程序。你在XP或XP后的系统中命令行下运行它,不一定能显示。

梅银明(@roolce) 实际上,这是一个测试文件。很多年前,这个作者想了个办法来测试杀毒软件的引擎是不是在正常工作(今天其实不需要这个了),就把这个无毒的文件忽悠给一些杀毒软件: 我们用个无毒公开的测试文件,来测试你们的引擎是否正常工作,病毒库是否正常加载了吧!我们不清楚有多少人真正用这个来干这件事。

梅银明(@roolce) 在今天,这个文件已经没有什么意义了,连测试意义都没有,你看,在主流的系统上,他甚至都不能显示他那句标志性的"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"了。但很多人把这个文件当成病毒,把自己打扮成高手,去要个各个杀毒软件继续支持对这个文件的检测。

梅银明(@roolce) 我说的其实不是病毒检测的问题,我说的是一个图腾崇拜形成的标本,它甚至能形成宗教,嘿嘿。 如果,传这个东东的人们,查查词典去读读发布这个文件的说明,会发现,原来这个图腾多么无意义。

 

最后

以上就是贪玩篮球为你收集整理的看反病毒专家对EICAR检测代码的专业解读的全部内容,希望文章能够帮你解决看反病毒专家对EICAR检测代码的专业解读所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(50)

评论列表共有 0 条评论

立即
投稿
返回
顶部