标题: 第一次安装，第一次运行，结果是对eicar没有反应 [打印本页]

---

作者: user123321     时间: 2010-2-6 00:42    标题: 第一次安装，第一次运行，结果是对eicar没有反应

分别试了txt和com形式的两个eicar文件。

---

作者: 蓝天之鹰     时间: 2010-2-6 00:58
楼主想表达什么？

---

作者: Legend     时间: 2010-2-6 01:14
这只是一组字符，它并不会给系统带来任何危害，所以微点主动防御软件是不会报警的，这是正常现象，请楼主放心。

[ Last edited by Legend on 2010-2-6 at 09:14 ]

---

作者: user123321     时间: 2010-2-6 19:48
主动防御不报警，可以理解
但是杀毒软件不报警，就不太好了吧

其他厂商的杀软都能检测出这个测试文件啊

普通一点的可以对文件原型报警，好点的可以在压缩后报警，再好点的是n重压缩后还能报警

不过不知道有没有可以在压缩后改扩展名之后还报警的。

---

作者: 别里科夫     时间: 2010-2-6 20:35
一段约定的代码而已，要是那个组织愿意，也可以把123456789000000000这段数字约定为测试代码，简而言之是没有意义的安全的字符
通过这段代码来测试所谓的普通、好、再好，我觉得是比较扯的事情，各个杀毒软件的文件过滤驱动机制不同，是可能出现细微差异，这个不好去评判好坏的...
这段代码最多就能测一个监控是否是在运行中，仅此而已

---

作者: user123321     时间: 2010-2-6 20:57
既然业界约定了这个测试标准，为何不遵守？
想学IE吗？

---

作者: user123321     时间: 2010-2-6 20:57
要学IE也得有那实力啊。

---

作者: 别里科夫     时间: 2010-2-6 22:03
我觉得咱们在这里只谈论为什么报警或者不报警比较恰当，你这样说就有点跑题了......

这个其实并不是什么“业界”一起来商议后“约定”的，是欧洲一个反病毒协会发布的。
很多地方还有更进一步的谣传说：通过对这段字符代码的反应速度来评判好坏，这还真不知道是哪个家伙从哪里编纂传出来的。
发布这段字符的协会人家自己都没这样说过......人家已经说了是“verification of the activity of anti-malware or anti-spyware products”——检查反病毒产品是否是活动的运行的（就是说检查监控是否在运行中，详见：http://www.eicar.org/anti_virus_test_file.htm）

从技术角度分析安全性来说，通过分析是安全的就不管它，不是安全的就根据类型来命名然后提取到病毒库

当然你可以对这段字符的处理方式喜欢或不喜欢，但从安全性的技术角度来看，报或是不报都是没有错误的

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn