ClamAV学习【6】—— cli_load函数浏览

最新推荐文章于 2022-05-18 19:00:40 发布
最新推荐文章于 2022-05-18 19:00:40 发布
阅读量2.8k 收藏
点赞数
分类专栏: ClamAV 文章标签: extension struct windows database file 聊天
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/betabin/article/details/7435170
版权

(老爸回家,就放开心和他到处走,累……趁其和老妈聊天之际,再继续看代码)

参数选项,加载病毒都浏览得七七八八了,这里就贴个简单的函数注释吧。哈哈。

代码注释如下:

int cli_load(const char *filename, struct cl_engine **engine, unsigned int *signo, unsigned int options, struct cli_dbio *dbio)
{
	FILE *fs = NULL;
	int ret = CL_SUCCESS;
	uint8_t skipped = 0;
	const char *dbname;

	//打开病毒库文件
    if(!dbio && (fs = fopen(filename, "rb")) == NULL) {
	cli_errmsg("cli_load(): Can't open file %s\n", filename);
	return CL_EOPEN;
    }

	//不清楚下面宏定义为啥被忽略了
	//路径分隔符windows的应该不是/的
/*
#ifdef C_WINDOWS
    if((dbname = strrchr(filename, '\\')))
#else
*/
	//将dbname定位到文件名位置
    if((dbname = strrchr(filename, '/')))
/*#endif */
	dbname++;
    else
	dbname = filename;

	//判断拓展名
	//不同类型病毒库(临时生成)调用不同方法
    if(cli_strbcasestr(dbname, ".db")) {
	ret = cli_loaddb(fs, engine, signo, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".cvd")) {
	    int warn = 0;

	//判断是否为daily.cvd文件
	if(!strcmp(dbname, "daily.cvd"))
	    warn = 1;

	//调用cvdload加载病毒库
	ret = cli_cvdload(fs, engine, signo, warn, options, 0);

    } else if(cli_strbcasestr(dbname, ".cld")) {
	    int warn = 0;

	if(!strcmp(dbname, "daily.cld"))
	    warn = 1;

	ret = cli_cvdload(fs, engine, signo, warn, options | CL_DB_CVDNOTMP, 1);

    } else if(cli_strbcasestr(dbname, ".hdb")) {
	ret = cli_loadmd5(fs, engine, signo, MD5_HDB, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".hdu")) {
	if(options & CL_DB_PUA)
	    ret = cli_loadmd5(fs, engine, signo, MD5_HDB, options, dbio, dbname);
	else
	    skipped = 1;

    } else if(cli_strbcasestr(dbname, ".fp")) {
	ret = cli_loadmd5(fs, engine, signo, MD5_FP, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".mdb")) {
	ret = cli_loadmd5(fs, engine, signo, MD5_MDB, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".mdu")) {
	if(options & CL_DB_PUA)
	    ret = cli_loadmd5(fs, engine, signo, MD5_MDB, options, dbio, dbname);
	else
	    skipped = 1;

    } else if(cli_strbcasestr(dbname, ".ndb")) {
	ret = cli_loadndb(fs, engine, signo, 0, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".ndu")) {
	if(!(options & CL_DB_PUA))
	    skipped = 1;
	else
	    ret = cli_loadndb(fs, engine, signo, 0, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".sdb")) {
	ret = cli_loadndb(fs, engine, signo, 1, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".zmd")) {
	ret = cli_loadmd(fs, engine, signo, 1, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".rmd")) {
	ret = cli_loadmd(fs, engine, signo, 2, options, dbio, dbname);

    } else if(cli_strbcasestr(dbname, ".cfg")) {
	ret = cli_dconf_load(fs, engine, options, dbio);

    } else if(cli_strbcasestr(dbname, ".wdb")) {
	if(options & CL_DB_PHISHING_URLS) {
	    ret = cli_loadwdb(fs, engine, options, dbio);
	} else
	    skipped = 1;
    } else if(cli_strbcasestr(dbname, ".pdb")) {
	if(options & CL_DB_PHISHING_URLS) {
	    ret = cli_loadpdb(fs, engine, options, dbio);
	} else
	    skipped = 1;
    } else if(cli_strbcasestr(dbname, ".ftm")) {
	ret = cli_loadftm(fs, engine, options, 0, dbio);

    } else if(cli_strbcasestr(dbname, ".ign")) {
	ret = cli_loadign(fs, engine, options, dbio);

    } else {
	cli_dbgmsg("cli_load: unknown extension - assuming old database format\n");
	ret = cli_loaddb(fs, engine, signo, options, dbio, dbname);
    }

	//判断病毒库加载是否成功
    if(ret) {
	cli_errmsg("Can't load %s: %s\n", filename, cl_strerror(ret));
    } else  {
	if(skipped)
	    cli_dbgmsg("%s skipped\n", filename);
	else
	    cli_dbgmsg("%s loaded\n", filename);
    }

    if(fs)
	fclose(fs);

    return ret;
}


BetaBin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ClamAV_0Day_exploit:ClamAV_0Day_exploit
03-08
ClamAV_0Day_exploit:ClamAV_0Day_exploit
ClamAV学习【3】——scanmanager函数浏览
BetaBin
04-02 3625
吃饱饭继续浏览Manager.c的scanmanager函数,这个函数的功能吧,暂时理解如下。 接收一个命令行参数(经过处理的optstruct结构指针)。 然后根据选项判断文件类型种类,还有一些扫描选项。看到了AC-Only选项,可是没有BM-Only选项,不解。然后就进行了病毒库的加载和引擎的初始化,接着进行了一些扫描限制(扫描文件大小、数量、递归深度等)设定,还有扫描的文件类型(貌似上面
ClamAV学习【1】——ClamAV流程
weixin_30568591的博客
02-13 117
不知道是对还是错,一开始就上手学习ClamAV,享受被虐的过程吧。 发现ClamAV的官网也很少资料,搜商还有待加强,大概翻阅了example的源代码,明白了其查毒的大概方式(BM和AC算法匹配特征码)。但是文件巨大,也没找到个合适的介绍资料。 下周计划就先学学BM算法和AC算法,还有翻翻ClamAV源码,先摸索下大概框架结构,重点先PE文件的查毒吧。 下面就贴上一张ClamAV的流程图...
网盘项目研究学习日志 2 clamav学习
weixin_44075121的博客
04-06 425
网盘项目研究学习日志(2)clamav学习 1. ClamAv介绍 Clam AntiVirus(ClamAv)是免费而且开源代码的防病毒软件,软件与病毒库的更新皆有社群免费发布。ClamAv主要使用在由Linux、FreeBSD等Unix-like系统架构的邮件服务器上,提供电子邮件的病毒扫描服务,在Windows与Mac OSX 平台也有移植版。 参考原文链接:https://blog.csdn.net/yangyuge1987/article/details/72621560 摘自ubuntu中文wi
clamav --reload 加载病毒库源码分析
guoguangwu的专栏
05-18 1015
基本流程可以参考clamav中clamdscan --version 不生效 我们直接从解析command开始。parse_command函数返回COMMAND_RELOAD类型。然后进入execute_or_dispatch_command函数处理。 recvloop=>parse_dispatch_cmd=>execute_or_dispatch_command /* returns: * <0 for error * -1 out of memory *
clamav 解压daily.cvd文件
guoguangwu的专栏
05-15 985
使用file命令查看daily.cvd文件类型: # file -b /var/lib/clamav/daily.cvd Clam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped 说明是压缩后的文件,但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。 然后参考博客ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览 知道cli_untgz可以解压c
clamav程序的研究总结
zhangge3663的博客
08-08 3368
一、clamav-0.100.1的整体的目录如下: |-Clamav-milter   |-Clambc   |-Clamconf   |-Clamdscan   |-Clamdtop   |-Clamscan   |-Clamsubmit   |-Config   |-Database   |-Docs   |-Etc   |-Examples   |-Freshclam   |-Libcl...
clamav的unrar解压模块加载
redwingz的博客
03-11 587
clamav使用的unrar功能,是一个单独的模块,使用C++实现,编译完成之后生成两个so文件libunrar.so和libclamunrar_iface.so,由命名可知,前者为unrar功能的主体,而后者为封装的接口。在使用的时候,作为动态库进行加载。 如下的configure变量,可指定unrar编译使用的编译器等参数。 CXX C++ compiler command CXXFLAGS C++ compiler flags LDFLAGS linker f
Linux安全体系的ClamAV病毒扫描程序[转]
wdbfz的专栏
12-01 5702
<br />摘自:http://www.shangshuwu.cn/index.php/Linux安全体系的ClamAV病毒扫描程序<br /> <br /> <br /> <br />ClamAV是使用广泛且基于GPL License的开放源代码的典型杀毒软件,它支持广泛的平台,如:Windows、Linux、Unix等操作系统,并被广泛用于其他应用程序,如:邮件客户端及服务器、HTTP病毒扫描代理等。ClamAV源代码可从http://www.clamav.net 下载。 <br />本章分析了C
clamav学习资料
12-07
关于clamav病毒软件的介绍、安装以及使用说明,包括动态库api调用说明,命令行调用杀毒方法等。
基于ClamAV和深度学习的混合恶意代码检测工具.zip
最新发布
03-28
人工智能毕业设计&课程设计
ClamAV 离线安装及使用
10-14
linux ubuntu木马,Ubuntu病毒查杀工具
puppet-windows_clamav:用于安装和管理 Windows ClamAV 的 Puppet 模块
06-24
windows_clamav 用于安装和管理 ClamAV 的 Puppet 模块。 如何使用 windows_clamav::setup { 'Perform Setup. It is Optional' : enable_email => 1, email_to => ' [email protected] ' , smtp_pass => ' 123123 '...
ClamAV学习【7】——病毒库文件格式学习
BetaBin
04-11 6885
搜查到一份详细的ClamAV病毒文件格式资料(http://download.csdn.net/detail/betabin/4215909),英文版,国内这资料不多的感觉。 重点看了下有关PE的病毒文件格式,就是*.mdb文件。还有之前郁闷用途的*.cvd文件。 就粘贴下刚刚的一点笔记: 1、介绍 CVD的前512bytes是其文件头,格式如下: ClamAV-VDB:build ti
ClamAV学习【5】—— cli_scanpe函数浏览
BetaBin
04-05 6003
这近2000行的代码,要是没有Source Insight,都不知道怎么看下去。跟着跟着来到了PE文件查杀的地方,发现前面都中规中矩地进行PE属性检查,中间一段开始扫描每个区块,然后和特征库的size对比扫描查毒。再后面,加了对一些流行病毒的特定查杀。(这个比较晕。) 代码注释如下(代码过长,可能有些人加载较慢,请耐心等待……): //传说中的PE文件查杀 int cli_scanpe(i
ClamAV学习【8】——64位Windows7下编译运行实践
BetaBin
04-12 5400
之前用SourceInsight静态分析了ClamAV引擎源码,现在打算开始动态研究下。不过出师不利,一开始就遇到纠结的问题,能力还有待提高。 从官网下了一个VS2005工程的源码包(http://download.csdn.net/detail/betabin/4219529)。 首先是解压后,libclamav下的phishcheck.c文件被毛豆直接干掉了,里面应该有太多钓鱼特征码吧。然
clamav Java_ClamAV安装使用及API例子
05-26
Java_ClamAV是一个Java语言实现的ClamAV API,用于在Java应用程序中集成ClamAV扫描引擎。以下是Java_ClamAV的安装和使用步骤: 1. 安装ClamAV Java_ClamAV是基于ClamAV的API,因此首先需要安装ClamAV扫描引擎。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值