网上流传了很久的的一段欧洲病毒检测代码EICAR标准测试文件,被很多人转载,最近甚至在《电脑爱好者》的专题中也看到了这种用代码测试杀毒软件优劣的说法。说是将这段代码保存后如果复制完代码后便提示内存有病毒是特等;优等:刚保存完就提示病毒(或者直接删除) ;中等:保存后几秒提示病毒(或者直接删除) ;下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除) ;劣等:无论怎么扫描都无法提示病毒(或者直接删除).
其实这种说法欠妥,以卡巴斯基互联网安全套装6.0为例,如果我们将卡巴斯基的文件保护打开,当我们保存完毕单击此文本文件时卡巴斯基就会立即报警,但是如果我们关闭卡巴斯基的文件保护,那么即使我们双击打开此文本文件也不会有任何反应 ,除非我们手动扫描此文件,卡巴斯基才会报警。
其实这段代码只能测试杀毒软件是否有效,而不能据此判断杀毒软件的优劣。之所以造成杀毒软件报警时机不同的原因是其监控的对象不同。例如使用的杀毒软件有内存监控,我们只要复制这段代码杀毒软件就会报告内存中有毒,因为一旦复制内容就会写入内存,杀毒软件的内存监控就能捕获病毒。而没有任何监控的杀毒软件只有在我们手动扫描的时候才会报警。
还有一种情况,如果将文件保存为.txt的文本,有些杀毒软件不会报毒,而一旦保存为.com文件,杀毒软件就会报警。这一点在卡巴斯基6.0上就可以模拟。先将文件保护中"常规"选项卡中"文件类型"设置为"程序和文档(根据扩展名)"然后复制这段代码并且保存为.txt文件,保存完毕后即使我们双击打开这个文本文件都不会报毒,然而我们一旦将后缀改为.com卡巴斯基就会立即报警。
其实这段代码原本的用意仅仅是用来测试杀毒软件和保护有没有正常运行,而不是同来评判杀毒软件的好坏,好与坏是一个综合指标,不是一段代码可以决定的。
