Просмотр полной версии : Тестовый вирус (TIFF, PDF, DOC)
ezarubaeva
18.05.2009, 17:17
Здравствуйте,
Я столкнулась со следующей проблемой. Мы установили на сервере систему, позволяющую пользователям закачивать на него файлы в формате TIFF, PDF и DOC (это копии документов). В ходе закачки, помимо прочего, проверяются две вещи:
1. Соответствие расширения формату (т.е. что файл с расширением TIFF - действительно TIFF).
2. Отсутствие вирусов (используем ClamAV).
Для проверки шага 2 мне нужен TIFF файл, который распознается системой как вирус. Можно было бы взять строчку EICAR (eicar.org) и вставить ее внутрь файла. Но тогда формат файла не будет соответствовать расширению и до шага 2 я не дойду.
Может быть, кто-нибудь мне подскажет, где взять файлы этого формата, расцениваемые как зараженные? Или как вставить EICAR строчку, не нарушив TIFF формата?
открываем блокнотом, и в конце прописываем то что прописано в EICAR
В формате TIFF есть поле Copyright
А если попробовать в него вставить EICAR?
ezarubaeva
18.05.2009, 18:37
Спасибо.
Вставить просто в конец не пойдет (портится TIFF формат, мне этого нельзя - получается The selected file is not a valid Microsoft Office Document Imaging file.)
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?
ALEX(XX)
18.05.2009, 18:52
HEX-редактор надо использовать... Блокнот может много чего не так сохранить, если не ошибаюсь
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?
Достаточно продвинутые графические редакторы это позволяют.
ezarubaeva
19.05.2009, 12:15
Скачала редактор (Hex Editor Neo) - ничего не разобрать. Какие графические редакторы можно назвать достаточно продвинутыми?
Видимо, мне надо какого-то спеца по формату Tiff поискать, пойду попробую...
Добавлено через 6 минут
Вообще удивительно получилось, я думала поначалу, что мне нужен файл с вирусом, а оказалось, нужна консультация по формату TIFF!
А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.
Название: Зима.tif
Размер: 1.38 Мб
Доступен до: 2009-06-18 12:15:24
Ссылка для скачивания файла: http://ifolder.ru/12191769
строка EICAR в EXIF и Сводка/Автор
если до и после текста EICAR в блокноте набросать несколько символов, Bitdefender уже ничего не находит...virustotal (http://www.virustotal.com/ru/analisis/d453e1e71faf6327bc94798754ae7467)
А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.
Да и не должен помечать.
Внутри файла строка хранится в другом виде + теги форматирования + описания шрифтов...
В итоге от оригинальной строки почти ничего не остается.
Вообще формат *.doc закрыт. Наверное стоит смотреть в сторону макровирусов...
ezarubaeva
19.05.2009, 13:14
Damien - спасибо огромное!!!
Файл скачала, буду использовать. Будете в Питере - с меня пирожок.
DOC и PDF с тестовыми вирусами мне дали производители антивируса, я им написала. А вот TIFF у них не было.
у меня сомнения, что с добавлением строки EICAR что-то получится.
Похоже, антивирусам все равно на присутствие в файле этой строки. Они настроены на файл, в котором кроме EICAR ничего нет (т.е. только 68 байт).
Выше уже есть ссылка, где честно прочесали файл только два антивируса.
CAT-QuickHeal+Panda.
ezarubaeva
19.05.2009, 16:52
Да, проверила я своим антивирусом (AVG) - тоже не катит. Не воспринимается EICAR, если кроме него есть еще хоть что-нибудь в файле.
Ну будем искать.
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot