如果我将 Eicar 测试签名添加到大型文本文件的开头,该文件是否会被检测为恶意文件?我在 Sublime Text 上打开了一个 5 MB 的二进制文件,并在开头添加了签名。使用 clamav 库进行扫描时,它将该文件识别为非恶意文件。这是使用最新的病毒定义。使用几天前的病毒定义,clam 将该文件检测为病毒。
答案1
经过一番挖掘,我发现它不应该被识别为病毒文件。根据http://2016.eicar.org/86-0-Intended-use.html, “前 68 个字符是已知字符串。它可以选择性地附加任意空格字符组合,总文件长度不超过 128 个字符。”
由于我们没有使用这里应该使用的 eicar 签名,所以我们不能期望 clamav 库的行为一致。