|
总有好事之人把“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”这段文本奉为神灵,号称某个杀毒软件见到这段文本不报毒就是垃圾。 我在腾讯围脖搜索这段代码时发现,将其奉为神灵的“专业”人士还不在少数。 请看看从事杀毒软件设计开发达10年之久的反病毒专家是怎么看这问题的,这是他的微博地址:http://t.qq.com/roolce |
| 梅银明(@roolce) 引号内是一段流传甚广的“病毒”:"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*",总会看到高手们拿着这个在各种论坛说,谁连这个不能查,谁能查这个,甚是牛逼。这究竟是个什么东东呢? 梅银明(@roolce) 这是一个远古时代的文件。作者是费了心思的,你看全是可打印字符,但是,这是一段可以执行的代码。前28个字符构成的汇编代码完成将寄存器设置成在调用INT 21时候,使用9号功能,dx指向29个字符开始的字符串,并将最后四个字节解密为CD 21 CD 20. 然后跳转到最后4个字节处。
梅银明(@roolce) 最后4个字节的汇编代码是INT 21,INT 20. 也就完成了对屏幕输出功能的调用,在屏幕上打印"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"这个字符串,并退出程序。当然,这是DOS环境下的程序。你在XP或XP后的系统中命令行下运行它,不一定能显示。 梅银明(@roolce) 实际上,这是一个测试文件。很多年前,这个作者想了个办法来测试杀毒软件的引擎是不是在正常工作(今天其实不需要这个了),就把这个无毒的文件忽悠给一些杀毒软件: 我们用个无毒公开的测试文件,来测试你们的引擎是否正常工作,病毒库是否正常加载了吧!我们不清楚有多少人真正用这个来干这件事。 梅银明(@roolce) 在今天,这个文件已经没有什么意义了,连测试意义都没有,你看,在主流的系统上,他甚至都不能显示他那句标志性的"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"了。但很多人把这个文件当成病毒,把自己打扮成高手,去要个各个杀毒软件继续支持对这个文件的检测。 梅银明(@roolce) 我说的其实不是病毒检测的问题,我说的是一个图腾崇拜形成的标本,它甚至能形成宗教,嘿嘿。 如果,传这个东东的人们,查查词典去读读发布这个文件的说明,会发现,原来这个图腾多么无意义。 |
扫一扫
5108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
