Ta witryna korzysta z plików cookies. Korzystając z witryny akceptujesz: polityka prywatności.   [×]
Online: 0x0C (12)

haker.info – Etyczny hacking🕊️

Spreading knowledge like a virus.

🦠 Co to jest plik Eicar?

🕰

Co to jest plik Eicar?

Plik Eicar to nieszkodliwy program typu .com dla systemu MS-DOS. Służy do testów działania oprogramowania antywirusowego. Skrót EICAR oznacza European Institute for Computer Anti-Virus Research. Instytut ten to organizacja pracująca nad rozwojem technik wykrywania i zwalczania nie tylko wirusów komputerowych, ale ogólnie pojętego złośliwego oprogramowania (ang. malware). To właśnie w tym instytucie zrodził się pomysł stworzenia pliku, który będzie rozpoznawany jako wirus komputerowy, ale nie będzie wykonywał żadnych szkodliwych działań. Uznano, że plik tego rodzaju będzie bardzo pomocny przy testowaniu oprogramowania antywirusowego. Za pomocą tego małego pliku każdy użytkownik może sprawdzić działanie zainstalowanego antywirusa. Metody przeprowadzenia testu mogą być różne. Można spróbować pobrać ten plik z internetu, aby sprawdzić czy gdzieś na łączu jest oprogramowanie antywirusowe. Pobieranie można spróbować wykonać standardowo oraz przez ruch szyfrowany (np. HTTPS). Warto też sprawdzić czy antywirus wykrywa plik w czasie rzeczywistym (próbie dostępu). Kolejny pomysł to weryfikacja czy plik testowy Eicar spakowany w archiwum ZIP również zostanie wykryty czy też nie.


Budowa pliku Eicar

Plik Eicar jest programem typu .com dla systemu MS-DOS. Jego rozmiar to 68 bajtów. W celu zmniejszenia możliwości użycia tego pliku w złośliwym celu wprowadzono limit ograniczający ilość bajtów do maksymalnie 128. Jego działanie to wyświetlenie napisu na ekranie o treści:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Zawartość pliku Eicar została opracowana tak, aby zawierała jedynie drukowalne znaki ASCII bez spacji i innych nietypowych znaków.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Mając powyższy ciąg znaków bardzo łatwo można utworzyć plik do testów. Wystarczy wkleić ten ciąg znaków np. do programu Notatnik w systemie Windows i zapisać z rozszerzeniem .com.

Warto zaznaczyć, że na stronie https://www.eicar.org/?page_id=3950 dostępne są gotowe pliki testowe typu Eicar do pobrania.


Analiza kodu pliku Eicar.com

Nowsze systemy Windows nie wspierają uruchamiania 16-bitowych aplikacji dla podsystemu MS-DOS. Zatem w celu analizy próbki Eicar można użyć emulatora DOSBox. Na rysunku poniżej przedstawiono plik eicar.com otwarty w narzędziu Turbo Debugger. Kolejny rysunek poniżej prezentuje listing w języku Asembler uzyskany poprzez deasemblację pliku .com. Umieszczone zostały w nim komentarze, aby lepiej zrozumieć działanie osobom zainteresowanym. Należy tutaj zaznaczyć, że program Eicar korzysta z techniki modyfikowania własnego kodu (ang. self-modifying code).



Pozostałe sygnatury

Plik testowy EICAR-Test-File może mieć różne sygnatury zależnie od używanego programu antywirusowego.

🦠 EICAR-Test-File (not A Virus)   🦠 Virus/EICAR_Test_File   🦠 Misc.Eicar-Test-File   🦠 EICAR Anti-Virus Test File   🦠 EICAR Test-NOT Virus!!!   🦠 Win32.Test.Eicar.a   🦠 EICAR.TestFile   🦠 Eicar.test.file   🦠 EICAR_Test_File   🦠 Test.eicar.aa   🦠 Virus.COM.Eicar.TestFile   🦠 Marker.Dos.EICAR-Test-File.dyb   🦠 Qex.eicar.gen.gen   🦠 NotAThreat.EICAR[TestFile]   🦠 ALG:EICAR Test String   🦠 EICAR.TEST.NOT-A-VIRUS   🦠 Test.File.EICAR.y   🦠 Trojan:MacOS/eicar.com   🦠 TestFile/Win32.EICAR   🦠 DOS.EiracA.Trojan   🦠 Win.Test.EICAR_HDB-1   🦠 Virus:DOS/EICAR_Test_File   🦠 EICAR-AV-TEST-FILE   🦠 EICAR-AV-Test   🦠 W32.Eicar.Testvirus.Gen   🦠 EICAR.Test.File-NoVirus.250



Wykaz literatury (bibliografia)

[1] eicar.org, 2021 – https://www.eicar.org/ [dostęp: 19.01.2021 r.]

Komentarze czytelników

Kontakt

mgr inż. Dawid Farbaniec  //  haker.iиfø

E-mail:
office@haker.info

Odwiedź mnie również na:

 

Wyrazy uznania: 📜 Credits page

Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Autor tej witryny w czasie tworzenia treści nie działa w imieniu firm, których technologie czy produkty opisuje — chyba, że jest to jasno oznaczone. Korzystając z zasobów witryny haker.info oświadczasz, że akceptujesz powyższe warunki oraz politykę prywatności.