Bonjour, Je souhaitais savoir si l'un de vous était au courant d'un script existant pour tester une solution anti viral (EDR).
J'en ai trouvé une tonne sur github pour tester via Powershell Windows, mais rien sur Linux.
Ici il s'agirait de tester un serveur Linux (Ubuntu/Debian) pour vérifier si la solution antiviral proposé par la société qui nous le vend fait l'affaire.
Du coup ci quelqu'un a quoi que se soit a me proposer, je suis totalement preneur.
A savoir que j'ai déjà tenté également d'injecter un virus par le Biais du Terminal et que la solution semble avoir fonctionner avec un Virus que je qualifierais de "Banal".
Merci d'avoir pris le temps de lire et j'espère que quelqu'un sera apte à m'aider.
# pas compris
Posté par octane . Évalué à 3.
Tu veux tester quoi? Vérifier que la solution fonctionne?
Bah donne à manger des fichiers à ton antivirus?
Est-ce qu'il y a une CLI pour ton antivirus? Genre:
$ scan <file>
$ for file in directory/* ; do scan $file ; done
[^] # Re: pas compris
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Comme l'auteur(e) évoquait des trucs préfaits sur un certain hub, je pense que la vraie question est de savoir comment trouver des fichiers de tests et comment apprécier les résultats, sans véroler sa/son machine/poste.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: pas compris
Posté par eric gerbier (site web personnel) . Évalué à 2.
Pour tester sans risque, il existe une signature de test reconnue par tous les antivirus : EICAR ( https://fr.wikipedia.org/wiki/Fichier_de_test_Eicar ).
[^] # Re: pas compris
Posté par octane . Évalué à 3.
Et c'est là ou on se rend compte que la qualité d'un antivirus est très subjective :D
Pour des raisons très compréhensibles, on ne va pas mettre des virus à tester. Du coup, comment tester la qualité des AV? Bah on a EICAR mais là, tous les AV le détectent, donc au mieux on vérifie juste que l'AV est démarré (ce qui est dejà pas mal).
Et même si on tombe sur un set de fichiers vérolés et qu'on le teste, est-ce que c'est un bon AV? Il a bloqué des trucs connus, donc c'est bien, mais il réagira comment face à un nouveau virus?
enfin tout ça pour dire que tester un AV avec un script shell, je vois pas trop comment ça peut faire l'affaire
[^] # Re: pas compris
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
On vérifie surtout que ça détecte des signatures connues (et je crois que c'est le but recherché) ; sinon y a trop de vendeurs de rêves (voire des infiltrés…) ce qui peut justifier la question initiale.
Mais bon, ce sont presque toujours les mêmes noms qui reviennent souvent (et ça pue toujours la promotion commerciale…)
C'est ce que je me suis dit en lisant que certains (AV-Test) ont testé 900 programmes vérolés…
Nota : sous les Unix-like, il est très important aussi de détecter les rootkits
- https://www.ubuntupit.com/best-linux-antivirus-top-reviewed-compared/
- https://www.safetydetectives.com/blog/best-really-free-antivirus-for-linux/
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.