查看: 4260|回复: 15
收起左侧

[分享] 看反病毒专家对EICAR检测代码的专业解读

[复制链接]
尝微听几
头像被屏蔽
发表于 2010-11-25 18:19:07 | 显示全部楼层 |阅读模式
看反病毒专家对EICAR检测代码的专业解读
2010-11-25 09:20
总有好事之人把[url=mailto:%E2%80%9CX5O!P%@AP[4 PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H]“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H[/url]*”这段文本奉为神灵,
号称某个杀毒软件见到这段文本不报毒就是垃圾。

我在腾讯围脖搜索这段代码时发现,将其奉为神灵的“专业”人士还不在少数。

请看看从事杀毒软件设计开发达10年之久的反病毒专家是怎么看这问题的,这是他的微博地址:http://t.qq.com/roolce

梅银明(@roolce) 引号内是一段流传甚广的“病毒”:"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*",总会看到高手们拿着这个在各种论坛说,谁连这个不能查,谁能查这个,甚是牛逼。这究竟是个什么东东呢?

梅银明(@roolce) 这是一个远古时代的文件。作者是费了心思的,你看全是可打印字符,但是,这是一段可以执行的代码。前28个字符构成的汇编代码完成将寄存器设置成在调用INT 21时候,使用9号功能,dx指向29个字符开始的字符串,并将最后四个字节解密为CD 21 CD 20. 然后跳转到最后4个字节处。

梅银明(@roolce) 最后4个字节的汇编代码是INT 21,INT 20. 也就完成了对屏幕输出功能的调用,在屏幕上打印"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"这个字符串,并退出程序。当然,这是DOS环境下的程序。你在XP或XP后的系统中命令行下运行它,不一定能显示。

梅银明(@roolce) 实际上,这是一个测试文件。很多年前,这个作者想了个办法来测试杀毒软件的引擎是不是在正常工作(今天其实不需要这个了),就把这个无毒的文件忽悠给一些杀毒软件: 我们用个无毒公开的测试文件,来测试你们的引擎是否正常工作,病毒库是否正常加载了吧!我们不清楚有多少人真正用这个来干这件事。

梅银明(@roolce) 在今天,这个文件已经没有什么意义了,连测试意义都没有,你看,在主流的系统上,他甚至都不能显示他那句标志性的"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"了。但很多人把这个文件当成病毒,把自己打扮成高手,去要个各个杀毒软件继续支持对这个文件的检测。

梅银明(@roolce) 我说的其实不是病毒检测的问题,我说的是一个图腾崇拜形成的标本,它甚至能形成宗教,嘿嘿。 如果,传这个东东的人们,查查词典去读读发布这个文件的说明,会发现,原来这个图腾多么无意义。


评分

参与人数 1人气 +1 收起 理由
成都焓公子 + 1 以前看过……

查看全部评分

菜鸟.
发表于 2010-11-25 19:21:18 | 显示全部楼层
不拿这个小白怎么知道他是高手
qwe12301
发表于 2010-11-25 21:57:22 | 显示全部楼层
嗯,楼主很用心,这都给你挖出来了
byxxdrls
头像被屏蔽
发表于 2010-11-25 22:00:46 | 显示全部楼层
哦,我在毒霸论坛看到过几次,有人拿这段代码来质问毒霸。
cxjceo
头像被屏蔽
发表于 2010-11-25 22:02:29 | 显示全部楼层
原来如此……
Lgwu
头像被屏蔽
发表于 2010-11-25 22:08:20 | 显示全部楼层
本帖最后由 Lgwu 于 2010-11-25 22:08 编辑

这段代码不多做解释,如网上直接转贴过来,在卡饭照样可以忽悠N多人现形。
yangyi0311
发表于 2010-11-25 22:39:29 | 显示全部楼层
本帖最后由 yangyi0311 于 2010-11-25 22:42 编辑

终于明白     我也试过  小白 飘过   
dragon817
发表于 2010-11-26 09:18:51 | 显示全部楼层
曾经也试过…
flowerxyq
发表于 2010-12-22 21:52:43 | 显示全部楼层
试过了,我的小红伞没反应。
成都焓公子
发表于 2010-12-22 23:44:38 | 显示全部楼层
很久很久以前我也试过……那会对数字感觉不错……测试它的杀毒……有反应……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 20:23 , Processed in 0.136880 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表