ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览

最新推荐文章于 2024-07-09 08:34:38 发布
最新推荐文章于 2024-07-09 08:34:38 发布
阅读量4.9k 收藏 3
点赞数 1
分类专栏: ClamAV 文章标签: path descriptor file null header 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/betabin/article/details/7456873
版权
本文介绍了ClamAV的CVD文件,它是一个病毒签名压缩文件,用于存储和解压生成病毒定义。CVD文件头部包含引擎库信息,其内容经过zlib压缩。通过`cli_untgz`函数解压后,每个病毒库文件的前512字节存储了名称和签名数量,以此识别和读取病毒签名。
摘要由CSDN通过智能技术生成

这个cli_untgz函数,是用来解压CVD文件的。

那么,就刚先搞清楚CVD文件的功能作用。下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件。原因就是,那些文件都是由CVD文件解压生成的,是的,CVD是个病毒签名压缩文件。(下面是daily.cvd解压后的)


CVD文件,前512个bytes是一个特殊的头文件,在前面也提到过了(http://blog.csdn.net/betabin/article/details/7448447)。记录引擎病毒库的简单信息。然后后面的内容,曾经多次用UE打开,发现是乱码。所以,是个压缩文件。压缩类型,根据cli_untgz函数里面使用的gzread读取函数,可以猜到是使用zlib压缩库压缩的。然后根据函数内容,接着可以判断出,原信息是一个接着一个病毒库文件存储的。既是每个新的病毒库开始的前512bytes中,存储着名字及病毒签名数量。接着就是病毒签名信息。通过签名的病毒签名数量,可以判断正在读取的病毒签名是否读取完。

还是贴代码注释比较好理解:


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  BetaBin
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
ClamAV学习【4】——cli_magic_scandesc函数浏览

				
			

			

				

					BetaBin
				

				

					04-04
					
					2653
					
				

			

		

		

			
				
今晚继续浏览ClamAV代码,挖掘到了cli_magic_scandesc函数,发现前面包装了很多次扫描函数,这里就是最后一层的感觉。一些扫描限制判断加上文件类型判断,采用不同扫描函数处理。
(PS:发现这些函数个头都很大,虽然按着功能分段好理解,但是书本不是说一个函数一个功能模块么?难道是不实际,还是理解错误?)
代码分析如下:

//magic,说明这很神奇
int cli_magic

			
		

	



                

              
                



	

		

			

				
					
ClamAv的病毒签名压缩包cvd

				
			

			

				

					04-12
				

			

		

		

			
				
ClamAv的病毒签名压缩包cvd,不过不是最新的。

			
		

	



                


  
              

                


	

		

			

				
					
clamav 解压daily.cvd文件

				
			

			

				

					guoguangwu的专栏
				

				

					05-15
					
					1111
					
				

			

		

		

			
				
使用file命令查看daily.cvd文件类型:


# file -b /var/lib/clamav/daily.cvd
Clam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped


说明是压缩后的文件,但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。

然后参考博客ClamAV学习【9】——cvd文件解析cli_untgz函数浏览

知道cli_untgz可以解压c

			
		

	





	

		

			

				
					
网络安全从业人员必知的ClamAV工具(非常详细)零基础入门到精通,收藏这一篇就够了

					
最新发布

				
			

			

				

					Javachichi的博客
				

				

					07-09
					
					2075
					
				

			

		

		

			
				
ClamAV允许用户创建自定义的病毒签名,从而检测特定的恶意软件。用户可以使用标准的ClamAV病毒数据库格式创建自定义签名,并将其添加到ClamAV的病毒数据库中。六、ClamAV的优势和局限性。

			
		

	



		

			
		



	

		

			

				
					
cvdupdate:ClamAV专用数据库镜像更新程序工具

				
			

			

				

					03-12
				

			

		

		

			
				
一种用于下载和更新clamav数据库和数据库补丁文件的工具,用于托管您自己的数据库镜像。
 Micah Snyder(C)2021版权所有(C)。
关于
该工具将下载最新的ClamAV数据库以及最新的数据库补丁文件。
 该项目代替了Frederic Vanden Poel的clamdownloader.pl Perl脚本,该脚本以前在这里提供:  : clamdownloader.pl
 可以经常运行此工具,但是只有在有新内容要下载时,它才会下载新内容。 如果您以某种方式设法下载得太频繁(例如:通过使用cvd clean all和cvd update反复进行),则官方数据库服务器可能会拒绝您的下载请求,并且一个或多个数据库可能会一直处于冷却状态,直到可以安全地重试。
要求
Python 3.6或更高版本。
 启用了DNS的Internet连接。
安装
您可以使用pip从PyPI安装cvdu

			
		

	





	

		

			

				
					
Linux防护工具clamav病毒库离线版

				
			

			

				

					12-07
				

			

		

		

			
				
用于Linux防护工具clamav的病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别

			
		

	





	

		

			

				
					
记一次离线安装Clamav过程与方法

				
			

			

				

					qq_40850215的博客
				

				

					05-21
					
					5068
					
				

			

		

		

			
				
离线安装(没有网络的情况下)
1.下载安装包
需要先下载程序包,可以直接在官网下载
https://www.clamav.net/,下载clamav-0.103.2.tar.gz具体以最新版本为主
下载clamav的病毒库,三个文件,main.cvd | daily.cvd | bytecode.cvd文件
http://database.clamav.net/main.cvd将后缀改成这三个名字即可下载,可用迅雷添加链接的方式
通过Xshell把clamav安装包放到/tmp下
2.安装clamav的依赖

			
		

	





	

		

			

				
					
ClamAV学习【5】—— cli_scanpe函数浏览

				
			

			

				

					BetaBin
				

				

					04-05
					
					6047
					
				

			

		

		

			
				
这近2000行的代码,要是没有Source Insight,都不知道怎么看下去。跟着跟着来到了PE文件查杀的地方,发现前面都中规中矩地进行PE属性检查,中间一段开始扫描每个区块,然后和特征库的size对比扫描查毒。再后面,加了对一些流行病毒的特定查杀。(这个比较晕。)
代码注释如下(代码过长,可能有些人加载较慢,请耐心等待……):

//传说中的PE文件查杀
int cli_scanpe(i

			
		

	





	

		

			

				
					
LibClamAV Error: cli_loaddbdir(): No supported database file问题解决

				
			

			

				

					程序员的一天
				

				

					09-15
					
					4578
					
				

			

		

		

			
				
网上搜索这个问题,出来的解决方案很多是创建clamd.sock,其实不需要!

1、问题描述
在centos7下安装ClamAV时,启动clamd报错,如下:
[root@程序员的一天 clamav]# clamd
LibClamAV Error: cli_loaddbdir(): No supported database files found in /usr/local/share/clamav
ERROR: Can't open file or directory

2、原因分析
原因:没有病毒库.

			
		

	





	

		

			

				
					
linux clamav 离线更新病毒库

				
			

			

				

					guoguangwu的专栏
				

				

					05-10
					
					1万+
					
				

			

		

		

			
				
到官网下载daily.cvd,地址为每天的病毒库下载地址

将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。

执行clamdscan --reload。它会通知clamd去重新加载病毒库。

然后执行clamdscan --version,查看版本信息。

例如我的结果如下:

ClamAV 0.105.0/26531/Wed May 4 08:05:36 2022

26531 这个值会变。后面的为时间。

例如我用今天5-10的病毒库看看结果

ClamAV...

			
		

	





	

		

			

				
					
clamav病毒库格式解析

					
热门推荐

				
			

			

				

					whatday的专栏
				

				

					03-28
					
					1万+
					
				

			

		

		

			
				
clamav简介


Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作,但也有许多图形接口的前端工具可用,另外由于其开放源代码的特性,在Windows与Mac OS X平...

			
		

	





	

		

			

				
					
Clamav杀毒软件安装与使用

				
			

			

				

					u011692164的专栏
				

				

					03-09
					
					2797
					
				

			

		

		

			
				
下载病毒库
ClamAVNet

main.cvd daily.cvd bytecode.cvd





或者通过以下链接下载

http://db.cn.clamav.net/daily.cvd

http://db.cn.clamav.net/main.cvd

http://db.cn.clamav.net/safebrowsing.cvd

http://db.cn.clamav.net/bytecode.cvd



2.下载rpm包(以suse11sp3为例)








...

			
		

	





	

		

			

				
					
CentOS主机上安装ClamAV杀毒软件

				
			

			

				

					weixin_47277340的博客
				

				

					12-04
					
					722
					
				

			

		

		

			
				
CentOS主机上安装ClamAV杀毒软件
1、安装epel
yum -y install epel-release,直到弹出complete


2、安装ClamAV
yum install –y clamav clamav-update,,中间会连续多次让你确认,直接输入"y"即可,直到弹出complete

3、更新病毒库
freshclam,第一次更新的时候出错,提示:
WARNING: Download failed (7) WARNING:  Message: Couldn’t connect 

			
		

	





	

		

			

				
					
【C 语言】文件操作 ( 文件加密解密 | 加密文件 )

				
			

			

				

					让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 ) 
				

				

					12-05
					
					3261
					
				

			

		

		

			
				
一、文件加密解密操作、
1、加密整 4096 字节的数据、
2、加密小于 4096 字节的数据、
二、完整代码示例、
1、文件加密操作、
2、DES 加密解密头文件、
3、第三方 DES 加密解密函数库源码、

			
		

	





	

		

			

				
					
算法学习【14】—— 1190. Reduced ID Numbers

				
			

			

				

					BetaBin
				

				

					07-25
					
					2584
					
				

			

		

		

			
				
题目来源:http://soj.me/1190



1190. Reduced ID Numbers


Constraints


Time Limit: 2 secs, Memory Limit: 32 MB

Description

T. Chur teaches various groups of students at university U. Ever

			
		

	





	

		

			

				
					
Windows程序输入输出重定向到网络

				
			

			

				

					BetaBin
				

				

					04-09
					
					2370
					
				

			

		

		

			
				
嗯,最近天气变幻无常……


最开始时源于想知道下NC的-e选项是怎么实现的,搜商有限,找到源码都不支持-e……


然后就搜到了windows管道方面的知识:微软msdn里面有提到“Creating a Child Process with Redirected Input and Output”(http://msdn.microsoft.com/en-us/library/win

			
		

	





	

		

			

				
					
Python:and和or的特殊性质

				
			

			

				

					BetaBin
				

				

					02-04
					
					6936
					
				

			

		

		

			
				
在Python 中,and 和 or 执行布尔逻辑演算,如你所期待的一样。但是它们并不返回布尔值,而是返回它们实际进行比较的值之一。
(类似C++里面的&&和||的短路求值)
( 在布尔环境中,0、''、[]、()、{}、None为假;其它任何东西都为真。但是可以在类中定义特定的方法使得类实例的演算值为假。)


and实例:
>>> 'a' and 'b'
'b'
>>> '' an

			
		

	





	

		

			

				
					
clamav Java_ClamAV安装使用及API例子

				
			

			

				

					05-26
				

			

		

		

			
				
Java_ClamAV是一个Java语言实现的ClamAV API,用于在Java应用程序中集成ClamAV扫描引擎。以下是Java_ClamAV的安装和使用步骤:

1. 安装ClamAV

Java_ClamAV是基于ClamAV的API,因此首先需要安装ClamAV扫描引擎。可以通过以下命令在Linux系统上安装ClamAV:

```
sudo apt-get install clamav
```

2. 下载Java_ClamAV

可以从Java_ClamAV的GitHub仓库中下载Java_ClamAV的源代码:https://github.com/solrevdev/java-clamav

3. 编译Java_ClamAV

进入Java_ClamAV的源代码目录,执行以下命令编译Java_ClamAV:

```
mvn clean package
```

4. 导入Java_ClamAV到你的项目

将Java_ClamAV生成的jar包导入到你的Java项目中。

5. 使用Java_ClamAV

以下是一个简单的Java_ClamAV使用示例:

```java
import java.io.File;
import java.io.IOException;
import org.clamav4j.ClamAV;
import org.clamav4j.ClamScan;
import org.clamav4j.ScanResult;
import org.clamav4j.ScanResult.Status;

public class ClamAVExample {
    public static void main(String[] args) throws IOException {
        // 初始化ClamAV扫描引擎
        ClamAV clamAV = new ClamAV();
        // 创建一个ClamScan对象
        ClamScan clamScan = new ClamScan(clamAV);
        // 扫描文件
        File file = new File("/path/to/file");
        ScanResult scanResult = clamScan.scan(file);
        // 检查扫描结果
        if (scanResult.getStatus() == Status.PASSED) {
            System.out.println("文件是安全的");
        } else {
            System.out.println("文件可能包含病毒:" + scanResult.getVirusName());
        }
    }
}
```

以上是一个简单的Java_ClamAV使用示例,你可以根据自己的需求进行修改和扩展。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 8

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值