今天在工作中，我被要求在我们的 Linux 服务器上测试我们的防病毒软件。我试图创建一个包含EICAR 病毒测试签名的文本文件. 该文件被立即删除，表明实时病毒扫描正在工作。然而，这让我开始思考……因为这是一个相对较短的 ASCII 可打印字符字符串，它可以很容易地插入到多种形式的用户输入中。因此，根据防病毒软件处理此问题的方式，如果您能够将其附加到文件中，则可以使用它来强制删除文件。例如，假设一个 Web 服务器记录了您发送给它的所有请求，您将这个 EICAR 病毒签名插入到请求中，它被记录到一个文件中，然后该文件被删除。我尝试在 google 上搜索恶意使用 EICAR 病毒测试，但无法找到任何在野外滥用此功能的示例。有谁知道这是否以前做过？它' 这是一个有趣的想法，具有讽刺意味的是，反病毒软件可能会对原本不具有威胁性的东西构成威胁。想法？

[编辑]

总之，如果在 AV 软件中正确实施，附加到日志文件的 EICAR 测试将不会被检测到（这很好）。但是，我发现这并不总是正确实施。因此，如果将其附加到日志文件中，某些防病毒软件可能会错误地采取措施。请参阅下面的分析：

在文件中准确检测 EICAR 测试签名本身的防病毒软件： https ://www.virustotal.com/en/file/56606ad869484ccbb4d012f46c9c73ea9b20f9863351741aab96763345209564/analysis/1409779284/

检测 EICAR 测试签名的防病毒软件，即使它已附加到文件中（这违反了 EICAR 测试规则，因此未根据协议在 AV 软件中实施）： https ://www.virustotal.com/ zh/文件/f5b88459f4b2c6425bdfc5c8f4f17027e0bfcc65a4c39dbb48f96c81ce17369c/analysis/1409779665/

[/编辑]