linux下clamav的一次制作特征码杀毒的过程

最新推荐文章于 2023-04-19 11:13:16 发布
最新推荐文章于 2023-04-19 11:13:16 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: 项目跟进 病毒木马 文章标签: clamav 特征码制作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cogbee/article/details/8638915
版权

我用的clamav引擎版本是0.97.6。

1、首先,必须了解clamav病毒特征码格式。这个官方文件有很多了。百度文库里面有一篇应该是从官方文档摘抄下来的,地址是http://wenku.baidu.com/view/93d875d5360cba1aa811daac.html。当然也有中文版的,不过比较简洁,熟悉的人可以看看。地址:http://www.docin.com/p-70733193.html

clamav格式有很多,每一种都是有一个数据库存放的。比如*.db 是用来存放Basic signature format。*.ndb是存放的extended signature format。还有*.mdb,*.ldb,*.idb等等。

2、制作特征码

首先我随意选了一个exe文件。然后计算了它的程序入口点(这个方法我的另一篇文章有提到)。当然之后我知道我自己做了无用功。然后选取了128byte的长度作为特征码。我选择的格式是*.ndb。根据格式,MalwareName我随意填写了一个。TargetType选择1。offset偏移量本该是我的之前计算的程序入口点的地址。但是这个clamav支持一个EP+0。EP+n表示的意思就是程序入口点plus n bytes。这样之前计算的入口点完全没有用了。最后一个是HexSignature。这个比我想象的要简单,我以为要做成MD5或则其他什么的。这个直接就是把这一段的16进制用来填写即可。这个你可以在linux下这么进行:

首先vim -b a.exe,以二进制打开文件,然后:%!xxd转换到十六进制。选取入口点的128bytes,这就是HexSignature了。

我另外做了一个test.ndb。然后写入我之前所说的,制作一个clamav的特征码。保存。

3、杀毒

用clamscan a.exe对文件进行扫描。但是很遗憾的是结果是a.exe:OK。没有杀到毒。我开始以为特征码哪里错了,没有错,然后以为是offset错了,可是也是没有错。最后是我自己的扫描命令出错。

clamscan -d test.ndb a.exe。OK,成功了。成功扫描出来这个a.exe有毒。

忙了一个下午,对杀毒软件的原理更加熟悉了。留一个记录。


cogbee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
linux 杀毒软件 木马扫描 clamav
08-16
linux 杀毒软件 木马扫描 clamav
构建属于自己的恶意软件特征
weixin_30297281的博客
10-19 841
引自http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html 感谢阿里云安全 的分享 0x00简介 最近研究了一些开源的杀毒引擎,总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征(SHELLCODE)、ASCII特...
ClamAv开源杀毒引擎详解
热门推荐
鸽子窝下蛋
05-22 1万+
最近公司在弄文件交换系统,为了确保文件交换安全执行,需要添加文件扫描杀毒功能。系统要实现调用杀毒引擎,对文件查杀。和国内外比较著名、熟知的杀毒厂商(360、瑞星、金山、小红伞等)联系,均告知没有提供相应的接口供第三方调用。百度搜索中还发现有人使用金山制作杀毒u盘,具体过程就是使用安装后的金山的dll文件和病毒库,实现病毒查杀,但这都是10年前的知识了,而且现在金山都是云查杀,本地都没有病毒库。各种查
防病毒Clamav使用及API调用测试
windStudyer的专栏
04-26 4291
1、Clamav介绍 (1)clamav是什么? ClamAV 是一个C语言开发的开源 (GPLv2) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序和用于自动数据库更新的高级工具。该软件包的核心是一个以共享库形式提供的反病毒引擎。 (2)clamav有哪些特性? a)、ClamAV 可检测数百万种病毒、蠕虫、特洛伊木马和其他恶意软件,包括宏病毒、移动恶意软件。 b)、内置支持流行的文档格式,包括MS Office和MacOffi
clamav病毒库格式解析
whatday的专栏
03-28 1万+
clamav简介 Clam AntiVirus(ClamAV)是免费而且开放源代的防毒软件,软件与病毒的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作,但也有许多图形接口的前端工具可用,另外由于其开放源代的特性,在Windows与Mac OS X平...
Clamav私有病毒特征
背锅浩的博客
03-10 1454
Clamav杀毒软件 安装 源安装 **[下载地址](https://www.clamav.net/downloads).** 过程不过多阐述,就是configure;make;make install那一套 yum安装 rpm -Uvh http://mirrors.aliyun.com/repo/Centos-7.repo yum install -y clamav 其他版本yum源自行寻找即可 配置 私有病毒特征库 下载脚本 #!/bin/bash date=$(date +'%F') log
clamav杀毒软件在centos7安装教程.docx
02-25
**ClamAV杀毒软件在CentOS7安装教程** ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供文件和邮件扫描功能,用于检测和清除病毒、木马和其他恶意软件。在CentOS7上安装和配置ClamAVLinux运维人员必备的...
ClamAV Linux杀毒软件部署
07-03
本文档详细介绍了linux下免费开源的杀毒软件的部署方式
clamav-linux杀毒工具及安装脚本.zip
07-27
ClamAV是一款开源的反病毒软件,主要用于Linux和FreeBSD等类UNIX系统,它提供了命令行扫描工具,可用于检测和清除各种恶意软件,包括病毒、木马、蠕虫以及垃圾邮件。这款工具的设计目标是轻量级且高效,适合在服务器...
Linux防护工具clamav病毒库离线版
12-07
3. **字节库(bytecode.cvd)**:ClamAV的字节库包含了一种优化的病毒检测机制,通过预编译的字节来提高扫描速度,同时降低资源消耗。这个库对于处理大量文件的扫描任务尤为有效。 **离线安装与更新病毒库** ...
clamav特征
01-17
这个是clamav特征的结构.特征的结构,不是特征库的
ClamAV病毒签名方法大全
04-11
ClamAV病毒签名方法大全,介绍了其不同格式的病毒库文件。
yara规则--构建yara规则库
无痕的博客
04-19 1604
多种方式构建yara规则库
Clamav使用及规则库详解
weoken
01-18 7148
Clamav作为一款开源的病毒引擎,能够探测木马、病毒、恶意软件及其它的恶意威胁。 官方地址:http://www.clamav.net/ Github上维护的开源代:https://github.com/Cisco-Talos/clamav-devel/ 官方可以下载最新的开源代及使用的病毒库。 从下载地址看,现在还支持exe文件的下载及使用,这里就不再做介绍。 安装clamav时,会自动安...
ClamAV学习【7】——病毒库文件格式学习
BetaBin
04-11 6904
搜查到一份详细的ClamAV病毒文件格式资料(http://download.csdn.net/detail/betabin/4215909),英文版,国内这资料不多的感觉。 重点看了下有关PE的病毒文件格式,就是*.mdb文件。还有之前郁闷用途的*.cvd文件。 就粘贴下刚刚的一点笔记: 1、介绍 CVD的前512bytes是其文件头,格式如下: ClamAV-VDB:build ti
linux病毒扫描工具,linux病毒扫描工具ClamAV使用
weixin_39784972的博客
05-06 488
前言:ClamAVLinux平台上领先的开源病毒扫描程序,如果你要为Linux桌面或服务器找到一个好的病毒扫描程序,这个应用程序应该是你的首选。它在命令行中运行,可以在Linux服务器和台式机上使用,并且可以很好地消除大量不同类型的恶意软件,包括恶意软件,电子邮件服务器漏洞,病毒,甚至是Windows漏洞利用程序。值得注意的问题有:ClamAV是一个以命令行为中心的应用程序,它占用内存和CPU并...
clamav程序的研究总结
zhangge3663的博客
08-08 3411
一、clamav-0.100.1的整体的目录如下: |-Clamav-milter   |-Clambc   |-Clamconf   |-Clamdscan   |-Clamdtop   |-Clamscan   |-Clamsubmit   |-Config   |-Database   |-Docs   |-Etc   |-Examples   |-Freshclam   |-Libcl...
linux主机如何安装杀毒软件,Linux 杀毒软件ClamAV安装部署
最新发布
05-30
Linux主机上安装杀毒软件可以提高系统安全性,常用的Linux杀毒软件有ClamAV,下面是ClamAV的安装部署步骤: 1. 打开终端,输入以下命令安装ClamAV: ``` sudo apt-get update sudo apt-get install clamav ``` 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值