看反病毒专家对EICAR检测代码的专业解读

显示全部楼层 · 发表于 2010-11-25 18:19:07

看反病毒专家对EICAR检测代码的专业解读
2010-11-25 09:20

总有好事之人把[url=mailto:%E2%80%9CX5O!P%@AP[4 PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H]“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H[/url]*”这段文本奉为神灵，

号称某个杀毒软件见到这段文本不报毒就是垃圾。

我在腾讯围脖搜索这段代码时发现，将其奉为神灵的“专业”人士还不在少数。

请看看从事杀毒软件设计开发达10年之久的反病毒专家是怎么看这问题的，这是他的微博地址：http://t.qq.com/roolce

梅银明(@roolce) 引号内是一段流传甚广的“病毒”:"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"，总会看到高手们拿着这个在各种论坛说，谁连这个不能查，谁能查这个，甚是牛逼。这究竟是个什么东东呢？

梅银明(@roolce) 这是一个远古时代的文件。作者是费了心思的，你看全是可打印字符，但是，这是一段可以执行的代码。前28个字符构成的汇编代码完成将寄存器设置成在调用INT 21时候，使用9号功能，dx指向29个字符开始的字符串，并将最后四个字节解密为CD 21 CD 20. 然后跳转到最后4个字节处。

梅银明(@roolce) 最后4个字节的汇编代码是INT 21,INT 20. 也就完成了对屏幕输出功能的调用，在屏幕上打印"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"这个字符串，并退出程序。当然，这是DOS环境下的程序。你在XP或XP后的系统中命令行下运行它，不一定能显示。

梅银明(@roolce) 实际上，这是一个测试文件。很多年前，这个作者想了个办法来测试杀毒软件的引擎是不是在正常工作（今天其实不需要这个了），就把这个无毒的文件忽悠给一些杀毒软件: 我们用个无毒公开的测试文件，来测试你们的引擎是否正常工作，病毒库是否正常加载了吧！我们不清楚有多少人真正用这个来干这件事。

梅银明(@roolce) 在今天，这个文件已经没有什么意义了，连测试意义都没有，你看，在主流的系统上，他甚至都不能显示他那句标志性的"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"了。但很多人把这个文件当成病毒，把自己打扮成高手，去要个各个杀毒软件继续支持对这个文件的检测。

梅银明(@roolce) 我说的其实不是病毒检测的问题，我说的是一个图腾崇拜形成的标本，它甚至能形成宗教，嘿嘿。如果，传这个东东的人们，查查词典去读读发布这个文件的说明，会发现，原来这个图腾多么无意义。

显示全部楼层 · 发表于 2010-11-25 19:21:18

不拿这个小白怎么知道他是高手

显示全部楼层 · 发表于 2010-11-25 21:57:22

嗯，楼主很用心，这都给你挖出来了

显示全部楼层 · 发表于 2010-11-25 22:00:46

哦，我在毒霸论坛看到过几次，有人拿这段代码来质问毒霸。

显示全部楼层 · 发表于 2010-11-25 22:02:29

原来如此……

显示全部楼层 · 发表于 2010-11-25 22:08:20

本帖最后由 Lgwu 于 2010-11-25 22:08 编辑

这段代码不多做解释，如网上直接转贴过来，在卡饭照样可以忽悠N多人现形。

显示全部楼层 · 发表于 2010-11-25 22:39:29

本帖最后由 yangyi0311 于 2010-11-25 22:42 编辑

终于明白我也试过小白飘过

显示全部楼层 · 发表于 2010-11-26 09:18:51

曾经也试过…

显示全部楼层 · 发表于 2010-12-22 21:52:43

试过了，我的小红伞没反应。

显示全部楼层 · 发表于 2010-12-22 23:44:38

很久很久以前我也试过……那会对数字感觉不错……测试它的杀毒……有反应……

[分享] 看反病毒专家对EICAR检测代码的专业解读

评分