guoguangwu的专栏

golang 往h2non/filetype中添加clamav病毒库类型

我们使用 eicar.com作为测试用例。# ./clamdscan/clamdscan eicar.com/home/jack/code/clamav-0.104.2/build/eicar.com: Eicar-Signature FOUND----------- SCAN SUMMARY -----------Infected files: 1Time: 0.006 sec (0 m 0 s)Start Date: 2022:05:19 05:03:25End Date: 2

基本流程可以参考clamav中clamdscan --version 不生效我们直接从解析command开始。parse_command函数返回COMMAND_RELOAD类型。然后进入execute_or_dispatch_command函数处理。recvloop=>parse_dispatch_cmd=>execute_or_dispatch_command/* returns: * <0 for error * -1 out of memory *

第一步安装 clamav本次测试使用的是Ubuntu 14.04.6 LTS 系统，直接使用二进制包安装apt-get install clamavapt-get install clamav-daemonapt-get install libclamunrar6注意：wazuh支持收集很多日志，比如syslog，clamav自己会写日志到/var/log/cla...

环境搭建可以参考clamav doc首先下载安装包，链接下载链接可以是压缩包或者msi文件我使用的是msi，这个比较简单，直接默认安装。接下来就是环境配置参考clamav的配置文档：配置文档找到对应的Windows的相关配置进入安装好的路径（例如 C:\Program Files\ClamAV）输入cmd，执行下面两条命令：copy .\conf_examples\freshclam.conf.sample .\freshclam.confcopy .\conf...

到官网下载daily.cvd，地址为每天的病毒库下载地址将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。执行clamdscan --reload。它会通知clamd去重新加载病毒库。然后执行clamdscan --version，查看版本信息。例如我的结果如下：ClamAV 0.105.0/26531/Wed May 4 08:05:36 202226531 这个值会变。后面的为时间。例如我用今天5-10的病毒库看看结果ClamAV...

自己使用源码编译clamav后，运行clamd。然后运行clamdscan --version，发现输出为ClamAV 0.104.2。而我的 /var/lib/clamav/目录下有对应的病毒库。数据不对。然后使用gdb -p pid 来调试 clamd。在parse_command处设置断点。发现没有断住。netstat -nlp |grep clamtcp 0 0 0.0.0.0:3310 0.0.0.0:* LIS...

使用file命令查看daily.cvd文件类型：# file -b /var/lib/clamav/daily.cvdClam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped说明是压缩后的文件，但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。然后参考博客ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览知道cli_untgz可以解压c