EICAR erkennen

1. offizieller Beitrag

    Hallo, ich habe eine Frage (mal wieder)
    Ich möchte gern wissen, wie ich eine Datei analysieren kann. Mir ist bewusst wie mein einen Trojaner aufspürt und testet, ob es einer ist. Jetzt wenn ich einen Virus habe, z.b. den EICAR-Testvirus wie kann ich den erkennen? Ich möchte kein Antiviren Programm in Autoit schreiben, das ist meiner Meinung nach völlig unmöglich. Aber es muss doch irgendwie eine Möglichkeit geben, zu erfahren ob diese Datei die EICAR Testdatei ist oder nicht. Ich hab da an den MD5 Hash gedacht, aber das kann man ja relativ leicht verfälschen. Habt ihr da eine Idee?

    • Offizieller Beitrag

    Wie kommst Du darauf, dass man die MD5-Checksumme leicht fälschen kann?

    Wenn Du von dem Testvirus die Checksumme erstellst und dann die MD5 einer entsprechenden Datei damit vergleichst, kannst Du feststellen, ob sie gleich sind oder nicht.
    Das ist zwar nicht sonderlich schnell, aber funktioniert.

    Hey.

    Also bei mir funkt. das nicht:

    [autoit]


    #Include <Crypt.au3>
    $md5=_Crypt_HashFile(@ScriptDir&"\eicar.com",$CALG_SHA1); funkt. auch net: $CALG_MD5)
    ClipPut($md5)

    [/autoit]

    http://www.virustotal.com/buscaHash.html

    Und jetzt da im input einfach Strg+V
    Dann Search..

    Aber:

    Zitat

    Error:
    Please check you had introduced a correct hash and copied every character from the control key.

    Der Hash stimmt: 0x9AA6D14E10A3FB700F396250F7EDC4FFD154A7E6 [Dies ist der Hash der Eicar.com]

    Wer weiß was ich falsch gemacht habe? :rolleyes:

    Nur keine Hektik - das Leben ist stressig genug