Jak sprawdzić czy Twój antywirus działa?

By | 6 lutego 2018

Od pewnego czasu rozwiązuję zadania na różnych portalach z wyzwaniami. Robię to aby się uczyć jak przełamywać zabezpieczenia, gdyż w tym roku mam w planie potwierdzić swoje umiejętności jakimś certyfikatem bądź certyfikatami z zakresu Ethical Hackingu lub przeprowadzania pentestów aplikacji.

Ostatnio trafiłem na dość ciekawe zadanie typu CTF (capture the flag), w którym należało potwierdzić, że strona serwowana jest z serwera z zainstalowanym oprogramowaniem antywirusowym. Zadanie ogólnie proste – wystarczy wysłać na serwer kawałek kodu wirusa. Wtedy z serwera powinniśmy otrzymać odpowiednią odpowiedź jeśli AV jest tam zainstalowany. Problem jednak w tym, skąd wziąć kod wirusa?

Można spróbować pobrać kawałek kodu wirusa (tzw. sygnatury) ze strony producentów tego typu oprogramowania, ale może być problem ze znalezieniem takich plików. Można też pobrać sobie wirusa, ale z oczywistych względów nie polecam. Po co narażać się niepotrzebnie 😉

Co więc zrobić? Okazuje się, że producenci oprogramowania AV przygotowują specjalne pliki, które nie są prawdziwymi wirusami, ale ich oprogramowanie reaguje na nie tak jakby faktycznie nimi były. Problem polega na tym, że takie pliki są specyficzne dla konkretnego programu. A czy może istnieje taki jeden wzorzec, na który zareaguje każdy antywirus?

Na szczęście tak. Organizacja EICAR (European Institute for Computer Anti-Virus Research e.V.) dostarcza plik ze specjalnym ustandaryzowanym kodem, który jedyne co robi, to wyświetla tekst: „EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”. Kod ten jest traktowany przez większość antywirusów jak wirus, choć nie jest on w żaden sposób szkodliwy. Plik można też utworzyć samemu. Wystarczy tylko w jego treści umieścić następujący tekst:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Plik taki można bezpiecznie przesyłać pocztą, choć prawdę mówiąc, jeśli masz zapięty antywirus do poczty, to powinien on wykryć zagrożenie ;-).

Tak więc, jeśli ktoś kiedyś spyta was jak można przetestować zainstalowanego antywirusa, to już macie gotową odpowiedź.

2 thoughts on “Jak sprawdzić czy Twój antywirus działa?

    1. Bartek R Post author

      Aktualnie skupiłem sie na Rozwal.to od Sekuraka oraz Hack.me . Zapisany jestem tez na paru innych stronach, ale aktualnie z nich nie korzystam.

      Reply

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *