Повышение коэффициента обнаружения

Когда выполняется HTTP-запрос на сканирование файла или блока памяти, есть два способа увеличить коэффициент обнаружения, указав необязательный контекст задачи сканирования:

• Укажите источник объекта для сканирования в поле url тела запроса POST:
  • Если объект для сканирования был получен из Интернета, укажите веб-адрес источника, включая протокол, например:

    http://example.com

    Поддерживаются протоколы HTTP, HTTPS и FTP.

    Если URL-адрес неизвестен, рекомендуется использовать http://example.com в качестве контекста задачи сканирования.

  • Если объект для сканирования был получен по электронной почте, укажите адрес отправителя в следующем формате: [from:%sender_address%], например:

    [from:example@example.com]

    Если адрес отправителя неизвестен, рекомендуется использовать [from: test@relay.example] в качестве контекста задачи сканирования.

  Ниже приведен пример HTTP-запроса на сканирование локального файла, полученного из Интернета. Обратите внимание на использование поля url для указания веб-адреса источника:

  POST /api/v3.0/scanfile HTTP/1.0 Content-Type: application/octet-stream Content-Length: 22   { "timeout": "10000", "object": "\/home\/user\/eicar", "url": "http:\/\/example.com" }

  Ответ такой же, как в примере HTTP-запроса на сканирование локального файла.

• Предоставьте заголовки запроса и ответа, собранные из HTTP-трафика, связанного с объектом для сканирования, в полях requestHeaders и responseHeaders тела запроса POST.

  Обратите внимание, что вы можете комбинировать два типа контекста задачи сканирования для дальнейшего повышения коэффициента обнаружения. В приведенном ниже примере заголовки запроса и ответа указаны вместе с веб-адресом источника.

  POST /api/v3.0/scanfile HTTP/1.0 Content-Type: application/octet-stream Content-Length: 22   { "object": "\/home\/user\/eicars.tar", "requestHeaders": ": authority: example.com\r\n: method: GET\r\n path:\/ \r\n:scheme: https\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,*\/*;q=0.8\r\naccept-encoding: gzip, deflate, br\r\naccept-language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,mt;q=0.6\r\ncache-control: no-cache\r\npragma: no-cache\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/71.0.3578.98 Safari\/537.36", "responseHeaders": "accept-ranges: bytes\r\ncache-control: max-age=604800\r\ncontent-type: text\/html; charset=UTF-8\r\ndate: Thu, 31 Jan 2019 18:51:11 GMT\r\netag: \"1541025663\"\r\nexpires: Thu, 07 Feb 2019 18:51:11 GMT\r\nlast-modified: Fri, 09 Aug 2013 23:54:35 GMT\r\nserver: ECS (dca\/532C)\r\nstatus: 200\r\nvary: Accept-Encoding\r\nx-cache: HIT", "url": "http:\/\/example.com" }

  На успешно обработанный запрос будет получен следующий ответ:

  HTTP/1.0 200 Ok Connection: close Content-Type: text/plain Server: KAVHTTPD/1.0 X-KAV-ProtocolVersion: 3 Date: Wed, 30 Jan 2019 15:46:29 GMT Content-Length: 75   { "object": \/home\/user\/eicars.tar", "scanResult": "DETECT", "detectionName": "multiple", "subObjectsScanResults": [ { "object": "\/home\/user\/eicars.tar\/\/eicar1", "scanResult": "DETECT", "detectionName": "EICAR-Test-File" }, { "object": "\/home\/user\/eicars.tar\/\/eicar2", "scanResult": "DETECT", "detectionName": "EICAR-Test-File" } ] }

В начало страницы