Повышение коэффициента обнаружения
05 марта 2024
ID 181065
Когда выполняется HTTP-запрос на сканирование файла или блока памяти, есть два способа увеличить коэффициент обнаружения, указав необязательный контекст задачи сканирования:
- Укажите источник объекта для сканирования в поле
urlтела запроса POST:- Если объект для сканирования был получен из Интернета, укажите веб-адрес источника, включая протокол, например:
http://example.comПоддерживаются протоколы HTTP, HTTPS и FTP.
Если URL-адрес неизвестен, рекомендуется использовать
http://example.comв качестве контекста задачи сканирования. - Если объект для сканирования был получен по электронной почте, укажите адрес отправителя в следующем формате:
[from:%sender_address%], например:[from:example@example.com]Если адрес отправителя неизвестен, рекомендуется использовать
[from: test@relay.example]в качестве контекста задачи сканирования.
Ниже приведен пример HTTP-запроса на сканирование локального файла, полученного из Интернета. Обратите внимание на использование поля
urlдля указания веб-адреса источника:POST /api/v3.0/scanfile HTTP/1.0
Content-Type: application/octet-stream
Content-Length: 22
{
"timeout": "10000",
"object": "\/home\/user\/eicar",
"url": "http:\/\/example.com"
}
Ответ такой же, как в примере HTTP-запроса на сканирование локального файла.
- Если объект для сканирования был получен из Интернета, укажите веб-адрес источника, включая протокол, например:
- Предоставьте заголовки запроса и ответа, собранные из HTTP-трафика, связанного с объектом для сканирования, в полях
requestHeadersиresponseHeadersтела запроса POST.Обратите внимание, что вы можете комбинировать два типа контекста задачи сканирования для дальнейшего повышения коэффициента обнаружения. В приведенном ниже примере заголовки запроса и ответа указаны вместе с веб-адресом источника.
POST /api/v3.0/scanfile HTTP/1.0
Content-Type: application/octet-stream
Content-Length: 22
{
"object": "\/home\/user\/eicars.tar",
"requestHeaders": ": authority: example.com\r\n: method: GET\r\n path:\/ \r\n:scheme: https\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,*\/*;q=0.8\r\naccept-encoding: gzip, deflate, br\r\naccept-language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,mt;q=0.6\r\ncache-control: no-cache\r\npragma: no-cache\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/71.0.3578.98 Safari\/537.36",
"responseHeaders": "accept-ranges: bytes\r\ncache-control: max-age=604800\r\ncontent-type: text\/html; charset=UTF-8\r\ndate: Thu, 31 Jan 2019 18:51:11 GMT\r\netag: \"1541025663\"\r\nexpires: Thu, 07 Feb 2019 18:51:11 GMT\r\nlast-modified: Fri, 09 Aug 2013 23:54:35 GMT\r\nserver: ECS (dca\/532C)\r\nstatus: 200\r\nvary: Accept-Encoding\r\nx-cache: HIT",
"url": "http:\/\/example.com"
}
На успешно обработанный запрос будет получен следующий ответ:
HTTP/1.0 200 Ok
Connection: close
Content-Type: text/plain
Server: KAVHTTPD/1.0
X-KAV-ProtocolVersion: 3
Date: Wed, 30 Jan 2019 15:46:29 GMT
Content-Length: 75
{
"object": \/home\/user\/eicars.tar",
"scanResult": "DETECT",
"detectionName": "multiple",
"subObjectsScanResults": [
{
"object": "\/home\/user\/eicars.tar\/\/eicar1",
"scanResult": "DETECT",
"detectionName": "EICAR-Test-File"
},
{
"object": "\/home\/user\/eicars.tar\/\/eicar2",
"scanResult": "DETECT",
"detectionName": "EICAR-Test-File"
}
]
}
