it-swarm-es.com

¿Se debe actualizar el EICAR para probar la revisión del sistema antivirus?

Estoy publicando esto aquí, ya que los programadores escriben virus y software AV. También tienen el mejor conocimiento de las heurísticas y cómo funcionan los sistemas AV (encubrimiento, etc.).

El archivo de prueba EICAR se utilizó para probar funcionalmente un sistema antivirus. Como se representa hoy, casi todos los sistemas AV marcarán a EICAR como un virus de "prueba". Para obtener más información sobre este virus de la prueba histórica, haga clic en aquí .

Actualmente el EICAR El archivo de prueba solo es bueno para probar la presencia de una AV Solución, pero no comprueba el archivo del motor ni el archivo DAT hasta la información . En otras palabras, por qué hacer una prueba funcional de un sistema que podría tener archivos de definición que tienen más de 10 años. Con el aumento de las amenazas de cero día, no tiene mucho sentido probar funcionalmente su sistema utilizando EICAR.

Dicho esto, creo que EICAR debe actualizarse/modificar para ser una prueba efectiva que funciona en conjunto con una solución de administración de AV. Esta pregunta es sobre Pruebas del mundo real , sin usar virus vivos ... que es la intención del EICAR original.

Dicho esto, estoy proponiendo un nuevo formato de archivo de EICAR con el apéndice de una blob XML que hará que el motor antivirus responda.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey> 

En esta muestra, el motor antivirus solo alertaría en el archivo EICAR si tanto el archivo de firma como el motor es igual o más nuevo que la fecha válida desde la fecha. También hay un código de acceso que protegerá el uso de EICAR al administrador del sistema.

Si tiene un backgound en TDD de "Diseño de prueba de prueba" para software, puede obtener que todo lo que estoy haciendo es aplicar los directores de TDD a mi infraestructura.

Sobre la base de su experiencia y contactos, ¿cómo puedo hacer que esta idea suceda?

3
goodguys_activate

Como dijiste en la pregunta, tendría que trabajar en conjunto con una solución AV. Para que eso suceda, necesitaría escribir un motor AV, o involucrarse con un proveedor de AV existente.

Si tal cosa existía ... ¿en qué se ingresa el beneficio? Solo pensando que el defensor del diablo aquí. ¿No se pudo informar el motor AV cuando se actualizó su base de datos?

3
Fosco