Eicar Test als Powershell Funktion
Mai
06
2018
Da ich immer wieder das Problem hatte, "geht" der AV innerhalb einer (VMware)-VM oder nicht, hab ich in einer bekannten Suchmaschine nach einer bereits existierenden Lösung gesucht.
Gefunden habe ich zwar einen Ansatz, diesen musste ich allerdings erst für meine Umgebung anpassen.
Hier nun die aktuelle Powershell Funktion:
<#
.NAME
Test-Eicar
.DESCRIPTION
This function will place a txt file on a (remote) computer with the Eicar String inside
.PARAMETER
.EXAMPLE
Test-Eicar <computername>
.NOTES
Author : wolfsheim
History : 2017-03-16 initial version
#>
function Test-Eicar {
param ( [Parameter(Mandatory=$true,Position=1)]
[string]$computername
)
if (!(test-Connection -count 1 -ComputerName $computername -Quiet))
{
Write-Host -ForegroundColor Red "$computer is offline"
break
}
else
{
$date = $(get-date).ToString('dd-MM-yyy_HH-mm-ss.fff')
$filename = "eicar_from_buf_" + $($date) + ".txt"
#Eicar Parts
$part1 = "X5O!P%@AP[4\PZX54(P^)7CC)7}"
$part2 = "$([char]36)EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
$part3 = "$([char]36)H+H*"
#get systemdrive letter
#test systemdrive\temp existing
if (Test-Path "\\$computername\c$\temp")
{
#$Eicarstring | out-file -FilePath "\\$computername\c$\temp\$filename" -NoNewline #-ErrorAction stop
$part1 | out-file -FilePath "\\$computername\c$\temp\$filename" -NoNewline
$part2 | out-file -FilePath "\\$computername\c$\temp\$filename" -NoNewline -Append
$part3 | out-file -FilePath "\\$computername\c$\temp\$filename" -NoNewline -Append
Write-Host -ForegroundColor green "write Eicar String in $filename on $computername in c:\temp was successfull"
}
else
{
Write-Host -ForegroundColor Red "Temp Folder not found on c:"
}
}
}
Was noch fehlt: auslesen des Systemdrive/Temp Ordners und kleinere Anpassungen