clamav的病毒库文件的文件头的信息说明(clamav版本号等)

最新推荐文章于 2024-05-11 10:06:56 发布
最新推荐文章于 2024-05-11 10:06:56 发布
阅读量4.1k 收藏 3
点赞数
分类专栏: Linux security 安全相关 系统运维 文章标签: 杀毒程序 clamav病毒库头文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yygydjkthh/article/details/122315161
版权
  • Author : Samson
  • Date : 01/04/2022

在开源病毒检测工具clamav中,是通过对病毒库中的病毒特征值来进行对比的,病毒库文件存放于/var/lib/clamav目录下,主要是三个cvd文件,如下:

bytecode.cvd  daily.cvd  freshclam.dat	main.cvd

打开cvd文件都能够看到第一行中有一段以冒号相隔的信息,如下:

~$ sed -n '1p' /var/lib/clamav/main.cvd  
ClamAV-VDB:16 Sep 2021 08-32 -0400:62:6647427:90:137eccce31aacb21b5a98bb8c21cefd6:twaJBls8V5q64R7QY10AatEtPNuPWoVoxTaNO1jpBg7s5jIMMXpitgG1000YLp6rb0TWkEKjRqxneGTxuxWaWm7XBjsgwX2BRWh/y4fhs7uyImdKRLzQ5y8e2EkSChegF/i8clqfn+1qetq9j4gbktJ3JZpOXPoHlyr2Dv9S/Bg:sigmgr:1631795562

那么这些信息是什么意义呢?可以在clamav的源码中的./libclamav/cvd.c文件中看到对此文件头信息的解析,如下:

struct cl_cvd *cl_cvdparse(const char *head)
{
    struct cl_cvd *cvd;
    char *pt;

    if (strncmp(head, "ClamAV-VDB:", 11)) {
        cli_errmsg("cli_cvdparse: Not a CVD file\n");
        return NULL;
    }

    if (!(cvd = (struct cl_cvd *)cli_malloc(sizeof(struct cl_cvd)))) {
        cli_errmsg("cl_cvdparse: Can't allocate memory for cvd\n");
        return NULL;
    }

    if (!(cvd->time = cli_strtok(head, 1, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the creation time\n");
        free(cvd);
        return NULL;
    }

    if (!(pt = cli_strtok(head, 2, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the version number\n");
        free(cvd->time);
        free(cvd);
        return NULL;
    }
    cvd->version = atoi(pt);
    free(pt);

    if (!(pt = cli_strtok(head, 3, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the number of signatures\n");
        free(cvd->time);
        free(cvd);
        return NULL;
    }
    cvd->sigs = atoi(pt);
    free(pt);

    if (!(pt = cli_strtok(head, 4, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the functionality level\n");
        free(cvd->time);
        free(cvd);
        return NULL;
    }
    cvd->fl = atoi(pt);
        free(pt);

    if (!(cvd->md5 = cli_strtok(head, 5, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the MD5 checksum\n");
        free(cvd->time);
        free(cvd);
        return NULL;
    }

    if (!(cvd->dsig = cli_strtok(head, 6, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the digital signature\n");
        free(cvd->time);
        free(cvd->md5);
        free(cvd);
        return NULL;
    }

    if (!(cvd->builder = cli_strtok(head, 7, ":"))) {
        cli_errmsg("cli_cvdparse: Can't parse the builder name\n");
        free(cvd->time);
        free(cvd->md5);
        free(cvd->dsig);
        free(cvd);
        return NULL;
    }

    if ((pt = cli_strtok(head, 8, ":"))) {
        cvd->stime = atoi(pt);
        free(pt);
    } else {
        cli_dbgmsg("cli_cvdparse: No creation time in seconds (old file format)\n");
        cvd->stime = 0;
    }

    return cvd;
}

由以上函数可知,文件头’ClamAV-VDB:16 Sep 2021 08-32 -0400:62:6647427:90:137eccce31aacb21b5a98bb8c21cefd6:twaJBls8V5q64R7QY10AatEtPNuPWoVoxTaNO1jpBg7s5jIMMXpitgG1000YLp6rb0TWkEKjRqxneGTxuxWaWm7XBjsgwX2BRWh/y4fhs7uyImdKRLzQ5y8e2EkSChegF/i8clqfn+1qetq9j4gbktJ3JZpOXPoHlyr2Dv9S/Bg:sigmgr:1631795562’中的信息的意义如下:
第一个是表示是clamav病毒库的标识;
第二个表示此病毒库创建的时间;
第三个表示此病毒库的版本号;
第四个表示此病毒库中的特殊库的条数;
第五个表示功能性级别;
第六个表示此病毒库的md5校验值;
第七个表示此病毒库的数字签名;
第八个表示此病毒库的创建者的名字;
第九个表示此病毒库的创建时的相对于1970.01.01 00:00:00的秒数;

病毒库更新可通过病毒库的版本号的对比来决定是否进行更新的动作;

风去沙来
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux防护工具clamav病毒库离线版
12-07
用于Linux防护工具clamav病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别
clamav获取病毒库版本号
仗剑天涯
07-04 8524
sigtool查看病毒库信息 sigtool -i 病毒库名称 [root@localhost Desktop]# sigtool -i main.cvd File: main.cvd Build time: 07 Jun 2017 17:38 -0400 Version: 58 Signatures: 4566249 Functionality level: 60 Builder: si...
linux安装clamav病毒扫描与删除
最新发布
qq_14926283的博客
05-11 1940
ClamAV是Linux操作系统一款免费的杀毒工具,通过命令执行病毒库升级、查找病毒和删除病毒。
Linux 下杀毒软件 clamav-1.0.0.linux.x86_64.rpm 离线安装及测试CentOS7,CentOS6.8,KylinV10 arm架构
丁亚军(Java)
01-30 6535
本文主要记录在centos7以及centos6.8版本上安装记录!
开源防病毒引擎ClamAV
wbsu2004的博客
07-07 1万+
ClamAV® 是一种开源防病毒引擎,用于检测木马、病毒、恶意软件和其他恶意威胁。
ClamAV实战
热门推荐
Yale的博客
05-26 2万+
关于ClamAV ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库,Linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。 安装: 安装后查看版本信息 使用-h查看帮助 简单的扫描一个文件如图报错时 是因为此时需要有可用的病毒库文件,同时用户和组的权...
clamav linux系统扫描病毒,查杀病毒安装与使用
cf
12-14 2733
1.clamav 有两个命令:clamdscan、clamscan clamscan 命令:通用,不依赖服务,命令参数较多,执行速度稍慢 clamdscan 命令:是一个搭配clamd常驻服务的扫毒工具,功能非常类似clamscan,执行效率较高,但是可用的参数较少(因为部分功能是由 clamd 控制的)。不用带 -r ,默认会递归扫描子目录 2.安装 apt -y install clamav clamtk clamav-daemon clamdscan device-tree-compile
clamav-0.103.0(2021最新版杀毒离线库).rar
08-26
在提供的压缩包文件中,包含三个重要的病毒库文件: 1. **main.cvd**:这是ClamAV的核心病毒数据库,包含了大量基础的病毒签名。它是所有安装了ClamAV的系统必须拥有的部分,通常只包含静态特征码。 2. **daily.cvd...
ClamAV病毒签名方法大全
03-21
容器的部由一系列用冒号分隔的字段组成,包括:ClamAV-VDB标识、构建时间、版本号、签名数量、所需功能级别、MD5校验和、数字签名以及构建者信息。例如,`sigtool --info`命令可以显示CVD文件的详细信息,如文件的...
ClamAV 离线安装及使用
10-14
8. **误报处理**:偶尔ClamAV可能会误报正常文件为病毒,此时可以使用`--no-infected`选项避免报告这些文件,或者根据实际情况调整病毒库。 9. **集成到邮件服务器**:ClamAV常与Postfix等邮件服务器结合使用,实现...
ClamAV病毒扫描之邮件告警脚本
03-02
ClamAV病毒扫描之邮件告警脚本,里面内容可根据自己的情况自行修改。 自行修改的内容有: mail 邮件收件人 要扫描的目录 日志存储路径 ip是需要要修改的,每个人的ip都不一样就需要手动修改一下,就在大概16行...
linux怎么查看安装杀毒软件,linux杀毒软件clamav安装与使用
weixin_29552845的博客
05-10 3682
#clamav安装与使用###第一步:Clamav下载http://www.clamav.net/downloadswget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz###第二步:创建clamav用户和组groupadd clamav (创建clamav组)useradd -g clamav clamav(创建c...
Linux病毒扫描工具ClamAV 安装使用
wx912820的博客
06-28 2552
linux 病毒防护
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
楚枫默寒的博客
05-12 1万+
一、简介 Clam AntiVirushttp://www.clamav.net/download.htmlClam AntiVirus是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。 二、安装 安装epel软件源 # 安装 [root@Centos7 ~]# yum install -y epel-release # 缓存 [root@Centos7 ~]# yum clean all && yum makecache
2024年Linux CentOS 环境下安装JDK的三种方法(2),2024年最新农民工看完都学会了
2401_83947434的博客
05-03 1009
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
【操作系统----Linux】杀毒工具Clamav -- yum安装
Sunny
12-02 1003
卸载旧版本 列出所有相关的安装 rpm -qa|grep clam 逐一卸载 rpm -e 列表中要卸载的组件 一、更新epel仓库源,yum下载clamav yum -y install epel-release yum install –y clamav clamav-update 二、更新病毒库(下载过程很慢) 查看病毒库版本 clamdscan -V 2.1自动...
linux clamav 离线更新病毒库
guoguangwu的专栏
05-10 1万+
到官网下载daily.cvd,地址为每天的病毒库下载地址 将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。 执行clamdscan --reload。它会通知clamd去重新加载病毒库。 然后执行clamdscan --version,查看版本信息。 例如我的结果如下: ClamAV 0.105.0/26531/Wed May 4 08:05:36 2022 26531 这个值会变。后面的为时间。 例如我用今天5-10的病毒库看看结果 ClamAV...
clamav源代码编译安装(centos)
shinena_deng的博客
10-22 914
clamav源代码编译安装centosclamav源代码编译安装(centos)安装过程问题处理离线安装CMake clamav下载解压后,解压目录内无configure文件,需要自己编译源代码进行安装,以下本次安装的主要操作记录。 clamav源代码编译安装(centos) 准备环境 yum install gcc gcc-c++ make python3 python3-pip valgrind yum install libbz2-devel check-devel libjson-c-dev
clamav更新病毒库报错
09-08
关于ClamAV更新病毒库报错的问题,可能是由于以下原因导致的: 1. ClamAV版本过旧,需要更新到最新版本。 2. ClamAV配置文件中指定的病毒库地址不正确或无法访问。 3. ClamAV所在的服务器无法连接到病毒库地址,可能是网络问题或者防火墙限制。 针对这些问题,可以尝试以下解决方法: 1. 更新ClamAV到最新版本,可以从官方网站下载最新版本的安装包进行升级。 2. 检查ClamAV配置文件中指定的病毒库地址是否正确,可以手动更新配置文件,或者使用ClamAV提供的命令行工具进行配置。 3. 检查服务器的网络连接情况和防火墙设置,确保可以正常连接到病毒库地址。 希望这些方法可以解决您的问题。如果还有其他问题,欢迎继续提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值