ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览

最新推荐文章于 2023-01-09 18:35:41 发布
最新推荐文章于 2023-01-09 18:35:41 发布
阅读量5k 收藏 3
点赞数 1
分类专栏: ClamAV 文章标签: path descriptor file null header 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/betabin/article/details/7456873
版权
本文介绍了ClamAV的CVD文件,它是一个病毒签名压缩文件,用于存储和解压生成病毒定义。CVD文件头部包含引擎库信息,其内容经过zlib压缩。通过`cli_untgz`函数解压后,每个病毒库文件的前512字节存储了名称和签名数量,以此识别和读取病毒签名。
摘要由CSDN通过智能技术生成

这个cli_untgz函数,是用来解压CVD文件的。

那么,就刚先搞清楚CVD文件的功能作用。下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件。原因就是,那些文件都是由CVD文件解压生成的,是的,CVD是个病毒签名压缩文件。(下面是daily.cvd解压后的)


CVD文件,前512个bytes是一个特殊的头文件,在前面也提到过了(http://blog.csdn.net/betabin/article/details/7448447)。记录引擎病毒库的简单信息。然后后面的内容,曾经多次用UE打开,发现是乱码。所以,是个压缩文件。压缩类型,根据cli_untgz函数里面使用的gzread读取函数,可以猜到是使用zlib压缩库压缩的。然后根据函数内容,接着可以判断出,原信息是一个接着一个病毒库文件存储的。既是每个新的病毒库开始的前512bytes中,存储着名字及病毒签名数量。接着就是病毒签名信息。通过签名的病毒签名数量,可以判断正在读取的病毒签名是否读取完。

还是贴代码注释比较好理解:


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  BetaBin
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
clamav的病毒库文件文件头的信息说明(clamav版本号等)

				
			

			

				

					狂客队长
				

				

					01-05
					
					4402
					
				

			

		

		

			
				
clamav clamav版本号 clamav病毒库 clamav病毒库头文件 

			
		

	



                

            
              



	

		

			

				
					
ClamAV学习【4】——cli_magic_scandesc函数浏览

				
			

			

				

					BetaBin
				

				

					04-04
					
					2670
					
				

			

		

		

			
				
今晚继续浏览ClamAV代码,挖掘到了cli_magic_scandesc函数,发现前面包装了很多次扫描函数,这里就是最后一层的感觉。一些扫描限制判断加上文件类型判断,采用不同扫描函数处理。
(PS:发现这些函数个头都很大,虽然按着功能分段好理解,但是书本不是说一个函数一个功能模块么?难道是不实际,还是理解错误?)
代码分析如下:

//magic,说明这很神奇
int cli_magic

			
		

	



              


  
              

                


	

		

			

				
					
ClamAv的病毒签名压缩包cvd

				
			

			

				

					04-12
				

			

		

		

			
				
ClamAv的病毒签名压缩包cvd,不过不是最新的。

			
		

	





	

		

			

				
					
clamav 解压daily.cvd文件

				
			

			

				

					guoguangwu的专栏
				

				

					05-15
					
					1148
					
				

			

		

		

			
				
使用file命令查看daily.cvd文件类型:


# file -b /var/lib/clamav/daily.cvd
Clam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped


说明是压缩后的文件,但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。

然后参考博客ClamAV学习【9】——cvd文件解析cli_untgz函数浏览

知道cli_untgz可以解压c

			
		

	



		

			
		



	

		

			

				
					
cvdupdate:ClamAV专用数据库镜像更新程序工具

				
			

			

				

					03-12
				

			

		

		

			
				
一种用于下载和更新clamav数据库和数据库补丁文件的工具,用于托管您自己的数据库镜像。
 Micah Snyder(C)2021版权所有(C)。
关于
该工具将下载最新的ClamAV数据库以及最新的数据库补丁文件。
 该项目代替了Frederic Vanden Poel的clamdownloader.pl Perl脚本,该脚本以前在这里提供:  : clamdownloader.pl
 可以经常运行此工具,但是只有在有新内容要下载时,它才会下载新内容。 如果您以某种方式设法下载得太频繁(例如:通过使用cvd clean all和cvd update反复进行),则官方数据库服务器可能会拒绝您的下载请求,并且一个或多个数据库可能会一直处于冷却状态,直到可以安全地重试。
要求
Python 3.6或更高版本。
 启用了DNS的Internet连接。
安装
您可以使用pip从PyPI安装cvdu

			
		

	





	

		

			

				
					
golang 往h2non/filetype中添加clamav病毒库类型

				
			

			

				

					guoguangwu的专栏
				

				

					01-09
					
					243
					
				

			

		

		

			
				
golang 往h2non/filetype中添加clamav病毒库类型

			
		

	





	

		

			

				
					
ClamAV学习【5】—— cli_scanpe函数浏览

				
			

			

				

					BetaBin
				

				

					04-05
					
					6074
					
				

			

		

		

			
				
这近2000行的代码,要是没有Source Insight,都不知道怎么看下去。跟着跟着来到了PE文件查杀的地方,发现前面都中规中矩地进行PE属性检查,中间一段开始扫描每个区块,然后和特征库的size对比扫描查毒。再后面,加了对一些流行病毒的特定查杀。(这个比较晕。)
代码注释如下(代码过长,可能有些人加载较慢,请耐心等待……):

//传说中的PE文件查杀
int cli_scanpe(i

			
		

	





	

		

			

				
					
LibClamAV Error: cli_loaddbdir(): No supported database file问题解决

				
			

			

				

					程序员的一天
				

				

					09-15
					
					4670
					
				

			

		

		

			
				
网上搜索这个问题,出来的解决方案很多是创建clamd.sock,其实不需要!

1、问题描述
在centos7下安装ClamAV时,启动clamd报错,如下:
[root@程序员的一天 clamav]# clamd
LibClamAV Error: cli_loaddbdir(): No supported database files found in /usr/local/share/clamav
ERROR: Can't open file or directory

2、原因分析
原因:没有病毒库.

			
		

	





	

		

			

				
					
Linux防护工具clamav病毒库离线版

				
			

			

				

					12-07
				

			

		

		

			
				
用于Linux防护工具clamav的病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别

			
		

	





	

		

			

				
					
构建属于自己的恶意软件特征库

				
			

			

				

					weixin_30297281的博客
				

				

					10-19
					
					874
					
				

			

		

		

			
				
引自http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html
感谢阿里云安全 的分享


0x00简介
最近研究了一些开源的杀毒引擎,总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征码(SHELLCODE)、ASCII特...

			
		

	





	

		

			

				
					
clamav特征码

				
			

			

				

					01-17
				

			

		

		

			
				
这个是clamav特征码的结构.特征码的结构,不是特征库的

			
		

	





	

		

			

				
					
Clamav杀毒软件源码分析笔记

				
			

			

				

					02-01
				

			

		

		

			
				
Clamav杀毒软件源码分析笔记
Clamav是命令行的查毒软件,所以相关的配置内容还是比较多的,出了《linux安全体系分析与编程》所陈述的内容,还有些其它命令行参数选项。

			
		

	





	

		

			

				
					
clamav杀功能强大的杀毒软件源代码

				
			

			

				

					08-24
				

			

		

		

			
				
linux 杀毒软件源代码,该软件为开源软件,功能强大。

			
		

	





	

		

			

				
					
linux clamav 离线更新病毒库

				
			

			

				

					guoguangwu的专栏
				

				

					05-10
					
					1万+
					
				

			

		

		

			
				
到官网下载daily.cvd,地址为每天的病毒库下载地址

将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。

执行clamdscan --reload。它会通知clamd去重新加载病毒库。

然后执行clamdscan --version,查看版本信息。

例如我的结果如下:

ClamAV 0.105.0/26531/Wed May 4 08:05:36 2022

26531 这个值会变。后面的为时间。

例如我用今天5-10的病毒库看看结果

ClamAV...

			
		

	





	

		

			

				
					
防病毒Clamav使用及API调用测试

				
			

			

				

					windStudyer的专栏
				

				

					04-26
					
					4446
					
				

			

		

		

			
				
1、Clamav介绍

(1)clamav是什么? ClamAV 是一个C语言开发的开源 (GPLv2) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序和用于自动数据库更新的高级工具。该软件包的核心是一个以共享库形式提供的反病毒引擎。

(2)clamav有哪些特性? a)、ClamAV 可检测数百万种病毒、蠕虫、特洛伊木马和其他恶意软件,包括宏病毒、移动恶意软件。 b)、内置支持流行的文档格式,包括MS Office和MacOffi

			
		

	





	

		

			

				
					
CentOS6 主机安全加固策略 Clamav 杀毒软件(三)离线手册拆读

				
			

			

				

					VincentQB的博客
				

				

					05-08
					
					2639
					
				

			

		

		

			
				
简单说明:

离线手册来源:依据《CentOS6 主机安全加固策略 Clamav 杀毒软件(二)YUM安装配置》
进行YUM安装后,/usr/share/doc/clamav-0.99.4/clamdoc.pdf
或者从官网进行下载:https://github.com/vrtadmin/clamav-faq/raw/master/manual/clamdoc.pdf




目录和拆读说明:

...

			
		

	





	

		

			

				
					
(网络安全数据集一)美国国家安全漏洞库 NVD-CVE信息解读 和常用漏洞库

					
热门推荐

				
			

			

				

					Bulldozer_GD的博客
				

				

					07-01
					
					1万+
					
				

			

		

		

			
				
CVD中CVE信息解读
最近要用到这方面的数据,就对CVD中的一小段CVE信息选取做了简单的理解,有错的地方请大佬指正。
一个完整的CVE信息 包含 七部分:
(一) 元数据
(二)漏洞影响软件信息
(三)   漏洞问题类型
“cve” : {
“data_type” : “CVE”,  #数据类型
“data_format” : “MITRE”, #数据格式 不能算是格式算是发布者吧
“data...

			
		

	





	

		

			

				
					
CentOS主机上安装ClamAV杀毒软件

				
			

			

				

					weixin_47277340的博客
				

				

					12-04
					
					740
					
				

			

		

		

			
				
CentOS主机上安装ClamAV杀毒软件
1、安装epel
yum -y install epel-release,直到弹出complete


2、安装ClamAV
yum install –y clamav clamav-update,,中间会连续多次让你确认,直接输入"y"即可,直到弹出complete

3、更新病毒库
freshclam,第一次更新的时候出错,提示:
WARNING: Download failed (7) WARNING:  Message: Couldn’t connect 

			
		

	





	

		

			

				
					
【C 语言】文件操作 ( 文件加密解密 | 加密文件 )

				
			

			

				

					让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 ) 
				

				

					12-05
					
					3324
					
				

			

		

		

			
				
一、文件加密解密操作、
1、加密整 4096 字节的数据、
2、加密小于 4096 字节的数据、
二、完整代码示例、
1、文件加密操作、
2、DES 加密解密头文件、
3、第三方 DES 加密解密函数库源码、

			
		

	





	

		

			

				
					
clamav Java_ClamAV安装使用及API例子

					
最新发布

				
			

			

				

					05-26
				

			

		

		

			
				
Java_ClamAV是一个Java语言实现的ClamAV API,用于在Java应用程序中集成ClamAV扫描引擎。以下是Java_ClamAV的安装和使用步骤:

1. 安装ClamAV

Java_ClamAV是基于ClamAV的API,因此首先需要安装ClamAV扫描引擎。可以通过以下命令在Linux系统上安装ClamAV:

```
sudo apt-get install clamav
```

2. 下载Java_ClamAV

可以从Java_ClamAV的GitHub仓库中下载Java_ClamAV的源代码:https://github.com/solrevdev/java-clamav

3. 编译Java_ClamAV

进入Java_ClamAV的源代码目录,执行以下命令编译Java_ClamAV:

```
mvn clean package
```

4. 导入Java_ClamAV到你的项目

将Java_ClamAV生成的jar包导入到你的Java项目中。

5. 使用Java_ClamAV

以下是一个简单的Java_ClamAV使用示例:

```java
import java.io.File;
import java.io.IOException;
import org.clamav4j.ClamAV;
import org.clamav4j.ClamScan;
import org.clamav4j.ScanResult;
import org.clamav4j.ScanResult.Status;

public class ClamAVExample {
    public static void main(String[] args) throws IOException {
        // 初始化ClamAV扫描引擎
        ClamAV clamAV = new ClamAV();
        // 创建一个ClamScan对象
        ClamScan clamScan = new ClamScan(clamAV);
        // 扫描文件
        File file = new File("/path/to/file");
        ScanResult scanResult = clamScan.scan(file);
        // 检查扫描结果
        if (scanResult.getStatus() == Status.PASSED) {
            System.out.println("文件是安全的");
        } else {
            System.out.println("文件可能包含病毒:" + scanResult.getVirusName());
        }
    }
}
```

以上是一个简单的Java_ClamAV使用示例,你可以根据自己的需求进行修改和扩展。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 8

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值