Clamav使用及规则库详解

最新推荐文章于 2024-04-17 02:32:52 发布
最新推荐文章于 2024-04-17 02:32:52 发布
阅读量6.9k 收藏 5
点赞数 2
分类专栏: tools 文章标签: clamav sigtool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sd_wfwk/article/details/86538435
版权

Clamav作为一款开源的病毒引擎,能够探测木马、病毒、恶意软件及其它的恶意威胁。

官方地址:http://www.clamav.net/
Github上维护的开源代码:https://github.com/Cisco-Talos/clamav-devel/
官方可以下载最新的开源代码及使用的病毒库。
从下载地址看,现在还支持exe文件的下载及使用,这里就不再做介绍。

安装clamav时,会自动安装sigtool。
Sigtool是一款针对clamav病毒库的读取工具。
查看帮助文档,可以明确各参数的具体使用方法
sigtool --help

                      Clam AntiVirus: Signature Tool 0.100.0
           By The ClamAV Team: https://www.clamav.net/about.html#credits
           (C) 2007-2018 Cisco Systems, Inc.

    sigtool [options]

    --help                 -h              Show this help
    --version              -V              Print version number and exit
    --quiet                                Be quiet, output only error messages
    --debug                                Enable debug messages
    --stdout                               Write to stdout instead of stderr
    --hex-dump                             Convert data from stdin to a hex
                                           string and print it on stdout
    --md5 [FILES]                          Generate MD5 checksum from stdin
                                           or MD5 sigs for FILES
    --sha1 [FILES]                         Generate SHA1 checksum from stdin
                                           or SHA1 sigs for FILES
    --sha256 [FILES]                       Generate SHA256 checksum from stdin
                                           or SHA256 sigs for FILES
    --mdb [FILES]                          Generate .mdb (section hash) sigs
    --imp [FILES]                          Generate .imp (import table hash) sigs
    --html-normalise=FILE                  Create normalised parts of HTML file
    --ascii-normalise=FILE                 Create normalised text file from ascii source
    --utf16-decode=FILE                    Decode UTF16 encoded files
    --info=FILE            -i FILE         Print database information
    --build=NAME [cvd] -b NAME             Build a CVD file
    --max-bad-sigs=NUMBER                  Maximum number of mismatched signatures
                                           When building a CVD. Default: 3000
    --flevel=FLEVEL                        Specify a custom flevel.
                                           Default: 91
    --cvd-version=NUMBER                   Specify the version number to use for
                                           the build. Default is to use the value+1
                                           from the current CVD in --datadir.
                                           If no datafile is found the default
                                           behaviour is to prompt for a version
                                           number, this switch will prevent the
                                           prompt.  NOTE: If a CVD is found in the
                                           --datadir its version+1 is used and
                                           this value is ignored.
    --no-cdiff                             Don't generate .cdiff file
    --unsigned                             Create unsigned database file (.cud)
    --hybrid                               Create a hybrid (standard and bytecode) database file
    --print-certs=FILE                     Print Authenticode details from a PE
    --server=ADDR                          ClamAV Signing Service address
    --datadir=DIR                          Use DIR as default database directory
    --unpack=FILE          -u FILE         Unpack a CVD/CLD file
    --unpack-current=SHORTNAME             Unpack local CVD/CLD into cwd
    --list-sigs[=FILE]     -l[FILE]        List signature names
    --find-sigs=REGEX      -fREGEX         Find signatures matching REGEX
    --decode-sigs                          Decode signatures from stdin
    --test-sigs=DATABASE TARGET_FILE       Test signatures from DATABASE against 
                                           TARGET_FILE
    --vba=FILE                             Extract VBA/Word6 macro code
    --vba-hex=FILE                         Extract Word6 macro code with hex values
    --diff=OLD NEW         -d OLD NEW      Create diff for OLD and NEW CVDs
    --compare=OLD NEW      -c OLD NEW      Show diff between OLD and NEW files in
                                           cdiff format
    --run-cdiff=FILE       -r FILE         Execute update script FILE in cwd
    --verify-cdiff=DIFF CVD/CLD            Verify DIFF against CVD/CLD

下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接着一个存储病毒库文件。clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
几个使用事例:

  1. 查看规则库的详细信息sigtool -i main.cvd
File: main.cvd
Build time: 07 Jun 2017 17:38 -0400
Version: 58
Signatures: 4566249
Functionality level: 60
Builder: sigmgr
MD5: 57462fd73f1cfdb356b9dca66da2b732
Digital signature: KWRdhTG+Own6ohh0wn5+vqg1d8ULKCxxxQeKuSA155B3ijxBKgf+bV3IXPcmZrIBUDn1xi8FmyvB63UieykwN/Avq5mTjHIVO8zFnC7wVF7dhdcEYn9Nt+Pmk/HXXx0voylYkidvgZmrxI8jx4a/Re6n3hHQJoCZrkHM15GER8j
Verification OK.
  1. 使用sigtool –unpack对病毒库文件进行解压缩解压缩出来的文件都是明文,可直接进行查看。对main.cvd进行解压缩后可以看到如下文件:
    COPYING main.crb main.fp main.hdb main.hsb main.info main.mdb main.msb main.ndb main.sfp
  2. 很多人解压缩后想打包回去,sigtool提供了–build参数。生成cvd的过程需要证书,当前只供维护人员使用。因为当前用不到,所以没有深究源码是如何实现的。

针对不一样的文件后缀,库的功能是不一样的。
病毒库签名文件总结如下:

签名文件后缀名签名类型
*.hdb基于md5 hash的签名
*.hsb基于sha1和sha256 hash的签名
*.mdb基于PE section hash的签名
*.dbBody-based的基本签名
*.ndbBody-based的扩展签名
*.ldbBody-based的逻辑签名
*.idbPE文件的图标签名
*.ndbPE文件版本信息元数据签名
.crb, .crtdb信任和撤销的证书签名
*.cdb容器元数据签名
.zmd(zip)和*.rmd(rar)只基于ZIP/RAR元数据的签名
.fp(md5)和.sfp(sha1和sha256)白名单数据库
*.pdb钓鱼url/host签名
*.gdb钓鱼URL hash签名
*.wdb钓鱼URL白名单签名
weoken.
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防护工具clamav病毒离线版
12-07
用于Linux防护工具clamav的病毒,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒用于识别
ClamAV 离线安装及使用
10-14
linux ubuntu木马,Ubuntu病毒查杀工具
ClamAV学习【8】——64位Windows7下编译运行实践,2024年最新【高级软件测试架构师系统学习】
最新发布
2401_84302684的博客
04-17 324
接着,出现问题,找不到pthreadVC2.dll。那我就去下个,也只能说这方面经验太少,直接去搜了个有MD5验证的多版本DLL压缩包下载来,可是连续换了几个版本的X64的pthreadVC2.dll都出问题,报错是0xc000007b。结果网上很多资源是关于游戏运行时出这个问题,而且关键是Directx的问题。最后,还是感觉自己下的pthreadVC2.dll不靠谱。首先是解压后,libclamav下的phishcheck.c文件被毛豆直接干掉了,里面应该有太多钓鱼特征码吧。)来,结果就Pass了……
ClamAV实战
Yale的博客
05-26 2万+
关于ClamAV ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒,Linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。 安装: 安装后查看版本信息 使用-h查看帮助 简单的扫描一个文件如图报错时 是因为此时需要有可用的病毒文件,同时用户和组的权...
操作系统安全:ClamAV安装及部署.docx
06-01
ClamAV安装及部署 下载安装 下载安装clamav源码包 # yum -y install epel-release # yum repolist #yum -y install clamav-db clamav clamd # cp /etc/freshclam.conf /etc/freshclam.conf.bak # sed -i -e "s/^Example/#Example/" /etc/freshclam.conf # cp /etc/clamd.conf /etc/clamd.conf.bak # sed -i -e "s/^Example/#Example/" /etc/clamd.conf # vim /etc/freshclam.conf DatabaseDirectory /var/lib/clamav UpdateLogFile /var/log/clamav/freshclam.log # vim /etc/clamd.conf LogFile /var/log/clamav/clamd.log PidFile /var/run/clamav/clamd
clamav-yara:将Clamav病毒数据定义转换为YARA规则[GOLANG]
05-09
ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在我们的服务器上安装clamav并设置服务器的URL来解决此问题,该服务器以HTTPS下载 提取签名并生成YARA规则。 目前,解析的ClamAV文件为:NDB,HDB,HSB。 MDB和MSB也可以完成,但是需要找到一种方法来生成适当的YARA规则。 === 如何产生规则 git clone https://github.com/sec51/clamav-yara.git go build go test -v ./clamav-yara 然后,您可以在rules文件夹中找到生成的Yara规则 === 去做 在OSX和LINUX上
clamav-0.103.0(2021最新版杀毒离线).rar
08-26
用于Linux防护clamav的病毒,由于很多人在线下载不方便或拒绝访问,提供2021最新版离线版下载,运行扫描工具时需要使用病毒扫描杀毒
杀毒软件 clamav 的安装和使用
热门推荐
无痕的博客
07-22 2万+
杀毒软件 clamav
【Linux】安装杀毒软件(漏洞扫描工具)ClamAV 并配置邮件告警操作指南
liu_chen_yang的博客
03-20 8033
ClamAV是Linux操作系统一款免费的杀毒工具,可以通过命令执行病毒升级、查找病毒和删除病毒。ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
楚枫默寒的博客
05-12 1万+
一、简介 Clam AntiVirushttp://www.clamav.net/download.htmlClam AntiVirus是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒。 二、安装 安装epel软件源 # 安装 [root@Centos7 ~]# yum install -y epel-release # 缓存 [root@Centos7 ~]# yum clean all && yum makecache
开源防病毒引擎ClamAV
wbsu2004的博客
07-07 1万+
ClamAV® 是一种开源防病毒引擎,用于检测木马、病毒、恶意软件和其他恶意威胁。
reversinglabs-yara-rules:ReversingLabs YARA规则
03-18
ReversingLabs YARA规则 欢迎使用官方的ReversingLabs YARA规则存储!随着我们为新威胁制定规则,并在我们的云和其他环境中通过测试证明了它们的质量之后,该存储将不断更新。 这些规则已由我们的威胁分析师编写,适用于威胁猎人,事件响应者,安全分析师和其他防御者,他们可以从在其环境中部署高质量威胁检测YARA规则中受益。 与搜寻规则相反,我们的检测规则需要满足某些条件才有资格进行部署,即: 在不损失检测质量的情况下尽可能精确 旨在提供零假阳性检测 为了使规则易于理解和维护,我们采用了以下目标: 明确命名的字节模式 可读透明的条件 匹配独特的恶意软件功能 比字符串更喜欢代码字节模式 为了确保规则的质量,我们在超过10B(并且还在不断上升)的唯一二进制文件中的云中对其进行持续不断的广泛测试。在每个层上评估规则,以检测分层对象(例如,打包的PE文件,文档和存档等)中的
php-clamav-scan:一个与CodeIgniter兼容的ClamAV的简单PHP
05-27
php-clamav-scan 一个简单PHP类,用于通过套接字文件或网络套接字(Windows)使用LOCAL ClamAV / clamd安装来扫描文件。 可以单独使用,也可以作为放到Codeigniter应用中。 创建此文件的主要原因是因为旧版php-clamav模块与PHP 7不兼容,而我发现的所有其他选项要么与CodeIgniter不兼容,要么被设计为与Composer一起使用。 如此琐碎的任务/应该没有那么困难。 如前所述,使用完整路径扫描文件,因此需要在Web服务器上运行clamd。 即使使用网络套接字,该类也无法在客户端/服务器模型中处理网络上的文件流(尚未)。 我不需要通过网络进行扫描,但是可以轻松添加支持。 话虽如此,它需要安装PHP Sockets模块。 如果尚不存在,则必须根据您的系统进行安装。 要在Windows上使用此功能,必须使用网络套接字选项。 据
clamav-validator:基于ClamAV防病毒扫描程序的Laravel病毒验证器
02-03
用于Laravel的ClamAV病毒验证程序 基于ClamAV防病毒扫描程序的自定义Laravel病毒验证程序,用于文件上传。 要求 您必须在服务器上运行ClamAV防病毒扫描程序,才能使此程序包正常工作。 您可以在ClamAV官方看到ClamAV安装说明。 例如,在Ubuntu计算机上,您可以执行以下操作: # Install clamav virus scanner sudo apt-get update && sudo apt-get install -y clamav-daemon # Update virus definitions sudo freshclam # Start the scanner service sudo systemctl enable --now clamav-daemon clamav-freshclam 该软件包未在Windows上进行测试,但是,如果您正在运行ClamAV(通常在端口3310上),它将可以工作。 您还需要安装并启用sockets扩展(不使用该模块的所有执行将失败,并显示以下错误- "Use of undefined c
clamav-linux杀毒工具及安装脚本.zip
07-27
clamav 为linux环境的杀毒工具,附件为 clamav 安装包及安装脚本,只要配置好 yum 源,直接运行脚本即可完成编译安装。具体可查看附件中 README.txt 文件。
clamav4j:ClamAV 的 Java
06-10
使用 ClamAV4j ,请使用阻塞连接类: class ClamAV使用异步类: class ClamAVAsync安装将 ClamAV4j POM 添加到项目中< dependency> < groupId>io.sensesecure</ groupId> < artifactId>clamav4j...
nmap脚本目录
Ccccc_ccc的博客
02-28 794
nmap脚本目录及简介
防病毒Clamav使用及API调用测试
windStudyer的专栏
04-26 4231
1、Clamav介绍 (1)clamav是什么? ClamAV 是一个C语言开发的开源 (GPLv2) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序和用于自动数据更新的高级工具。该软件包的核心是一个以共享形式提供的反病毒引擎。 (2)clamav有哪些特性? a)、ClamAV 可检测数百万种病毒、蠕虫、特洛伊木马和其他恶意软件,包括宏病毒、移动恶意软件。 b)、内置支持流行的文档格式,包括MS Office和MacOffi
yara规则--构建yara规则
无痕的博客
04-19 1457
多种方式构建yara规则
clamav Java_ClamAV安装使用及API例子
05-26
Java_ClamAV是一个Java语言实现的ClamAV API,用于在Java应用程序中集成ClamAV扫描引擎。以下是Java_ClamAV的安装和使用步骤: 1. 安装ClamAV Java_ClamAV是基于ClamAV的API,因此首先需要安装ClamAV扫描引擎。可以通过以下命令在Linux系统上安装ClamAV: ``` sudo apt-get install clamav ``` 2. 下载Java_ClamAV 可以从Java_ClamAV的GitHub仓中下载Java_ClamAV的源代码:https://github.com/solrevdev/java-clamav 3. 编译Java_ClamAV 进入Java_ClamAV的源代码目录,执行以下命令编译Java_ClamAV: ``` mvn clean package ``` 4. 导入Java_ClamAV到你的项目 将Java_ClamAV生成的jar包导入到你的Java项目中。 5. 使用Java_ClamAV 以下是一个简单的Java_ClamAV使用示例: ```java import java.io.File; import java.io.IOException; import org.clamav4j.ClamAV; import org.clamav4j.ClamScan; import org.clamav4j.ScanResult; import org.clamav4j.ScanResult.Status; public class ClamAVExample { public static void main(String[] args) throws IOException { // 初始化ClamAV扫描引擎 ClamAV clamAV = new ClamAV(); // 创建一个ClamScan对象 ClamScan clamScan = new ClamScan(clamAV); // 扫描文件 File file = new File("/path/to/file"); ScanResult scanResult = clamScan.scan(file); // 检查扫描结果 if (scanResult.getStatus() == Status.PASSED) { System.out.println("文件是安全的"); } else { System.out.println("文件可能包含病毒:" + scanResult.getVirusName()); } } } ``` 以上是一个简单的Java_ClamAV使用示例,你可以根据自己的需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值