สวัสดีครับ เราคงเคยได้ยินกันเกี่ยวกับการทดสอบ Antivirus กัน ทำนองหัวข้อกระทู้หรือหัวข้อเมล์ว่า

 

" ทดสอบโปรเเกรมAnti-virusของคุณเอง "

"ทดสอบความเก๋าของโปรแกรมป้องกันไวรัส"

 

เอาหล่ะครับ เรามาถือโอกาสแถลงกันเลย ณ.เอ็นทรีนี้

การทดสอบคือ ตามฟอร์ม เราต้องเอาข้อความนี้ "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" (ไม่เอาเครื่องหมาย " นะ)

ไปลง Notepad เซฟเป็นไฟล์อะไรก็ได้นามสกุล .com

ในข้อความทั้งหมด มักจะเขียนตบท้ายว่า "ถ้า Anti-Virus ไม่แจ้งว่าเป็นไวรัสก็แสดงว่า ถึงเวลาเปลี่ยน Anti-Virus เพราะว่ามันไม่ค่อยมีประสิทธิภาพในการตรวจจับ"

เอาหล่ะครับ ในตอนนี้ ผู้อ่านหลายๆคนอาจจะกำลังลองเล่นอยู่ เราขอแนะนำให้คุณอ่านก่อนจะเล่นครับ

จริงอยู่ว่ามันไม่มีอันตรายใดๆ เพราะเป็นแค่โค๊ดททดสอบเท่านั้น

ในความเป็นจริง Antivirus บางตัวอาจจะไม่แจ้งเตือน เราก็อย่าเพิ่งน้อยใจ และลบโปรแกรมออกไป

เพราะว่า Code นี้ไปไว้ทดสอบเพียงแค่ว่า

 

"เมื่อมีการสร้างไฟล์ใหม่ แล้วมันจะตรวจจับหรือเปล่า"

 

ถ้าคุณใช้โปรแกรมที่ On-Access ช้าๆ (พวกเบาเครื่อง) อย่าง Rising, PcTools หรือ Panda Cloud มันจะไม่ตรวจจับว่าเป็นไวรัส

เพราะอะไร !?

 

"เพราะการสร้างไฟล์ใหม่ๆขึ้นมา"

"แล้วระบบ Realtime ตรวจจับแบบทันที"

"จะใช้ทรัพยากรเครื่องไปส่วนหนึ่ง"

"ดังนั้น บางโปรแกรมจะออกแบบให้จับตอนกำลังจะรัน"

 

(คือก่อนมันจะคุกคามเครื่องอ่ะนะ)

แต่ก็ ถึงเราจะกดรันไฟล์นี้ไป (บอกไปแล้วว่าไม่มีผลร้าย)

แต่บางโปรแกรมก็ยังจับไม่ได้

เรื่องนี้จะพบกับ Panda หรือ Kaspersky

เพราะอะไร !?

 

"เพราะ Antivirus บางโปรแกรม"

"ถือว่าEicar Test File ไม่ใช่ไวรัส"

"และไม่มีอันตรายใดๆ ก็เลยไม่มีความจำเป็นต้องตรวจจับ"

 

เช่นเดียวกับโปรแกรมที่เอาไว้ทดสอบ Firewall ที่ Firewall บางตัวปล่อยผ่านไปเฉยๆ ก็เพราะรู้ว่านี่เป็นเพียงไฟล์ทดสอบที่ไม่มีอันตรายใดๆ เลยไม่มีความจำเป็นต้องไปบล๊อกมันไว้

 

เรื่องน่ารู้เกี่ยวกับ Eicar

คำว่า Eicar เป็นตัวย่อขอคำว่า European Institute for Computer Antivirus Research เป็นหน่วยงานมาตรฐานการทดสอบ Antivirus ของยุโรป ที่เป็นมาตรฐานโลกนี้

Eicar ถูกตรวจจับจาก Antivirus ทั่วโลกครับ ถ้าเราสั่งสแกน แต่บางครั้งจะไม่เจอในโหมด Realtime.

Code นี้ เขียนขึ้นโดยมีขนาดประมาณ 68 ไบต์ โดยเป็นรหัส ASCII ที่มีส่วนขยายเป็น .COM ทำงานกับ OS ที่รันระบบไฟล์ด้วย DOS ได้ เช่น Windows, OS/2

อย่างที่บอกว่าไฟล์นี้ไม่เป็นอันตราย เพราะเมื่อกดรันแล้วจะได้หน้าต่าง DOS ขึ้นข้อความว่า

 

"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"

 

โค้ดนี้เขียนขึ้นแลเป็นที่รู้จักกันครั้งแรกในปี 1998 ครับ ดังนั้ง ไม่ถือว่าเป็นการทดสอบประสิทธิภาพตรงไหน เพราะถ้าคุณมีฐานข้อมูลวันไหนก็ได้ที่ใหม่กว่าปี 1998 ยังไงมันก็ตรวจเจอ

ซึ่งประสิทธิภาพของ Antivirus ที่ดี คือการ Update ให้เป็นตัวล่าสุด (ทั้งฐานข้อมูลและเอ็นจิน) แล้วถึงตอนนั้นค่อยยืนยันได้ว่าประสิทธิภาพดี

เป็นยังไงกันบ้างล่ะครับ เพราะฉะนั้น การทดสอบด้วย Eicar นั้น

 

ไม่ถือว่าเป็นการทดสอบ "ประสิทธิภาพ" ของโปรแกรมป้องกันไวรัสเลย

 

ดังนั้น คงจะเข้าใจกันได้แล้วนะครับ

 

และยังเปิดรับ FAQ อยู่ที่เอ็นทรีนี้ ครับ

ถ้าไม่ต้องการเม้นให้คนอื่นเห็น ส่ง EMS มาสำหรับสมาชิก หรือส่งอีเมล์มาก็ได้ครับ จะไม่เปิดเผยชื่อ (ยกเว้นคำถามเรื่องส่วนตัว ขอสงวนไม่ตอบนะ)

ไว้พบกันเอ็นทรีหน้าครับ

Comment

Comment:

Tweet

ขอบคุณอีกครั้งครับ

#9 By Ohm two (118.172.105.239) on 2010-07-25 04:09

ขอบคุณมากครับ

#8 By Ohm (118.172.105.239) on 2010-07-25 04:02

ลองเล่นๆละคับ AVG ฟรีจับได้อะ

#7 By aaaaaaa on 2010-01-06 21:05

Antivirus เยอะแยะ จนงงbig smile
Hot! ขอบคุณสำหรับความรู้ครับ

#5 By Seam - C on 2010-01-06 11:32

ของเค้าดีจริงๆ confused smile
ขอบคุณครับ open-mounthed smile
เคยลองเหมือนกัน 555
สาระเพียบเลยงานนี้
ขอบคุณหลาย ๆ ค่า Hot!

หยั่งกะ Anti-Hoax กลาย ๆ (ฮา)
ผมก็เคยลอง ปรากฏว่า เครื่องที่ช้ามากๆมันจะไม่จับทั้งๆท่เป้นแอนตี้ตัวเดียวกัน
...แต่เครื่องเร็วๆจะขึ้นทันที

ก็เลยเชื่อถือไม่ค่อยได้...หุหุหุ
ขอบคุณสำหรับสาระครับ

#2 By ป่อม~~สุกี้ on 2010-01-05 21:33

ถ้า Antivirus จับ Code ที่ไม่เป็นอันตรายต่อเครื่องแสดงว่า "FP" big smile

#1 By avactz on 2010-01-05 21:30