微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 反病毒专业人士对所谓“杀软检测代码”的看法
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  反病毒专业人士对所谓“杀软检测代码”的看法

梅 银明(@roolce) 引号内是一段流传甚广的“病毒”:"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H*",总会看到高手们拿着这个在各种论坛说,谁连这个不能查,谁能查这个,甚是牛逼。这究竟是个什么东东呢?

梅 银明(@roolce) 这是一个远古时代的文件。作者是费了心思的,你看全是可打印字符,但是,这是一段可以执行的代码。前28个字符构成的汇编代码完成将寄存器设置成在调用 INT 21时候,使用9号功能,dx指向29个字符开始的字符串,并将最后四个字节解密为CD 21 CD 20. 然后跳转到最后4个字节处。

梅 银明(@roolce) 最后4个字节的汇编代码是INT 21,INT 20. 也就完成了对屏幕输出功能的调用,在屏幕上打印"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"这个字符串,并退出程序。当 然,这是DOS环境下的程序。你在XP或XP后的系统中命令行下运行它,不一定能显示。

梅 银明(@roolce) 实际上,这是一个测试文件。很多年前,这个作者想了个办法来测试杀毒软件的引擎是不是在正常工作(今天其实不需要这个了),就把这个无毒的文件忽悠给一些 杀毒软件: 我们用个无毒公开的测试文件,来测试你们的引擎是否正常工作,病毒库是否正常加载了吧!我们不清楚有多少人真正用这个来干这件事。

梅 银明(@roolce) 在今天,这个文件已经没有什么意义了,连测试意义都没有,你看,在主流的系统上,他甚至都不能显示他那句标志性的"EICAR-STANDARD- ANTIVIRUS-TEST-FILE!"了。但很多人把这个文件当成病毒,把自己打扮成高手,去要个各个杀毒软件继续支持对这个文件的检测。

梅银明(@roolce) 我说的其实不是病毒检测的问题,我说的是一个图腾崇拜形成的标本,它甚至能形成宗教,嘿嘿。 如果,传这个东东的人们,查查词典去读读发布这个文件的说明,会发现,原来这个图腾多么无意义。

老梅的微博
http://t.qq.com/roolce

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-9-13 20:34
查看资料  发送邮件  访问主页  发短消息   编辑帖子
scien
中级用户




积分 296
发帖 296
注册 2009-10-13
#2  



有意思

…………

※ ※ ※ 本文纯属【scien】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-9-14 08:16
查看资料  发送邮件  发短消息   编辑帖子
soonbest
中级用户




积分 302
发帖 298
注册 2006-11-21
#3  

传说中的一段代码测试杀软的真容露出来了。

※ ※ ※ 本文纯属【soonbest】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-9-14 08:58
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号