clamav病毒库格式解析

最新推荐文章于 2024-05-31 09:41:50 发布
最新推荐文章于 2024-05-31 09:41:50 发布
阅读量1.5w 收藏 7
点赞数 2
分类专栏: 技术布道 文章标签: clamav 病毒库 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zourzh123/article/details/45719757
版权

clamav病毒库格式解析

最新用到clamav,发现网上对病毒库格式的介绍还是不多,在clamav主页上找到个英文版的https://github.com/vrtadmin/clamav-devel/raw/master/docs/signatures.pdf,不过介绍的不详细,也缺少例子,在这里介绍下。
以前没用CSDN发过贴,不知道怎么推荐,但CSDN论坛betabin博主的 ClamAV学习系列介绍的东西挺好,大家可以去转转。

  • clamav简介
  • sigtool的用法
  • 病毒库格式
  • 总结

clamav简介

Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作,但也有许多图形接口的前端工具可用,另外由于其开放源代码的特性,在Windows与Mac OS X平台都有其移植版。 —— [ clamav开源主页 ]

clamav的病毒库可以在安装后配置自动升级,也可以按如下方法手动获取:
http://db.cn.clamav.net/daily.cvd
http://db.cn.clamav.net/main.cvd
http://db.cn.clamav.net/safebrowsing.cvd
http://db.cn.clamav.net/bytecode.cvd

sigtool的用法

下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接着一个存储病毒库文件。clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
sigtool查看cvd的信息
sigtool -i main.cvd
File: ../database/main.cvd
Build time: 17 Sep 2013 10:57 -0400
Version: 55
Signatures: 2424225
Functionality level: 60
Builder: neo
MD5: 6c03be24ae2171478e0de317e3661e36
Digital signature: U44YuTP7vNpU3sZVfI54S78bkaJluqmkJCFX8skaNcNUPoTLnTxXtSuOwWufwn+M+21kGR0CO7hvU3K+44YuOA92rMNNNmKOJOnli+lGv972THU2dkCL+491C6Y4Q+169wIW+Zp/TyH93yt75qGv8vanBM1QdyXk8fnDvsOlC4
Verification OK.
sigtool解压缩main.cvd
sigtool -u main.cvd
main.db main.fp main.hdb main.info main.mdb main.ndb main.zmd

clamav病毒库格式(cvd解压后)

A. 基于hash的签名
A.1 基于md5 hash的签名,签名文件后缀*.hdb
格式:
HashString:FileSize:MalwareName
举例:
507d8f868c27feb88b18e6f8426adf1c:12391:Win.Exploit.CVE_2013_3163
用sigtool生成签名的方法:
sigtool –md5 test.exe > test.hdb
A.2 基于SHA1和SHA256的签名,签名文件后缀*.hsb
格式:
HashString:FileSize:MalwareName
举例:
71e7b604d18aefd839e51a39c88df8383bb4c071dc31f87f00a2b5df580d4495:544:clam.exe
用sigtool生成签名的方法:
sigtool –sha1 test.exe > test.hsb
sigtool –sha256 test.exe >test.hsb
A.3 基于PE section hash的签名,文件后缀*.mdb
格式:
PESectionSize:PESectionHash:MalwareName
举例:
23040:32f0b60a78f632259c16b0e94ae8ebbc:Win.Trojan.Qqpass-1714
用sigtool生成签名的方法:
sigtool –mdb test.exe > test.mdb
A.4 未知文件的大小的hash签名
clamav0.98开始支持,用通配符*表示未知文件大小,但有一个限制条件(functional level≥73):
举例:
在以上 .hsb和.mdb中匹配未知文件大小的签名分别
HashString:*:MalwareName:73
*:PESectionHash:MalwareName:73
B. body-based签名
B.1 十六进制格式
用sigtool将可显示字符串转换成十六进制的方法是
sigtool –hex-dump string
举例:
zolw@localhost:/tmp/test$ sigtool –hex-dump How do I look in hex?
486f7720646f2
最低0.47元/天 解锁文章
zourzh123
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网盘项目研究学习日志 2 clamav学习
weixin_44075121的博客
04-06 435
网盘项目研究学习日志(2)clamav学习 1. ClamAv介绍 Clam AntiVirus(ClamAv)是免费而且开源代码的防病毒软件,软件与病毒库的更新皆有社群免费发布。ClamAv主要使用在由Linux、FreeBSD等Unix-like系统架构的邮件服务器上,提供电子邮件的病毒扫描服务,在Windows与Mac OSX 平台也有移植版。 参考原文链接:https://blog.csdn.net/yangyuge1987/article/details/72621560 摘自ubuntu中文wi
Linux防护工具clamav病毒库离线版
12-07
用于Linux防护工具clamav病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别
ClamAV开源病毒库使用例子
文石_2009的博客
12-08 245
这个示例代码将扫描名为`test.txt`的文件。如果文件被感染了病毒,程序将输出“File is infected with a virus.”;如果文件干净,将输出“File is clean.”;ClamAV是一个开源的反病毒引擎,用于检测恶意软件和病毒。ClamAV提供了一个名为`cl_scanfile`的函数,用于扫描单个文件是否包含病毒。// 要扫描的文件路径。// 使用cl_engine_compile()函数预编译引擎,以提高扫描速度。// 初始化ClamAV引擎。
重新配置ClamAV更新工具的指南
最新发布
Leon_Jinhai_Sun的博客
05-31 329
重新配置ClamAV更新工具的指南
clamav 解压daily.cvd文件
guoguangwu的专栏
05-15 1056
使用file命令查看daily.cvd文件类型: # file -b /var/lib/clamav/daily.cvd Clam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped 说明是压缩后的文件,但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。 然后参考博客ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览 知道cli_untgz可以解压c
SpringBoot 整合 clamav 文件病毒检测
m0_37566009的博客
08-26 1329
SpringBoot 整合 clamav 文件病毒检测
ClamAV病毒签名方法大全
03-21
ClamAV是一款开源的反病毒软件,主要...总的来说,创建ClamAV病毒签名是一个涉及深入理解文件格式、恶意软件行为和ClamAV引擎工作原理的过程。通过熟练掌握这些方法,可以有效地增强ClamAV在检测和防御病毒方面的性能。
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
目前,解析ClamAV文件为:NDB,HDB,HSB。 MDB和MSB也可以完成,但是需要找到一种方法来生成适当的YARA规则。 === 如何产生规则 git clone https://github.com/sec51/clamav-yara.git go build go test -v ./...
clamAV源代码分析
04-11
ClamAV病毒库 ClamAV病毒库是扫描引擎的核心组件。病毒库包含了大量的恶意代码签名信息,用于检测和删除恶意代码。ClamAV病毒库可以通过freshclam工具进行更新,以确保检测能力的实时性。 ClamAV的UI壳 ...
ClamAV源码分析笔记
05-06
ClamAV源码分析笔记 ClamAV是一款基于GPL(通用公开许可证)的反病毒工具...3. 自动升级:ClamAV病毒库可以自动升级,确保用户的计算机安全。 ClamAV是一款功能强大且实用的反病毒工具,能够保护用户的计算机安全。
Linux安全体系的ClamAV病毒扫描程序[转]
wdbfz的专栏
12-01 5733
<br />摘自:http://www.shangshuwu.cn/index.php/Linux安全体系的ClamAV病毒扫描程序<br /> <br /> <br /> <br />ClamAV是使用广泛且基于GPL License的开放源代码的典型杀毒软件,它支持广泛的平台,如:Windows、Linux、Unix等操作系统,并被广泛用于其他应用程序,如:邮件客户端及服务器、HTTP病毒扫描代理等。ClamAV源代码可从http://www.clamav.net 下载。 <br />本章分析了C
QtAv player 视频播放器
01-08
基于qtav库实现视频播放的一个简单使用例子,可以截图,qtav源码编译的release和debug都在里面了,直接编译就可以运行了。
linux下clamav的一次制作特征码杀毒的过程
cogbee的专栏
03-05 3610
我用的clamav引擎版本是0.97.6。 1、首先,必须了解clamav病毒特征码格式。这个官方文件有很多了。百度文库里面有一篇应该是从官方文档摘抄下来的,地址是http://wenku.baidu.com/view/93d875d5360cba1aa811daac.html。当然也有中文版的,不过比较简洁,熟悉的人可以看看。地址:http://www.docin.com/p-70733193
clamav病毒库文件的文件头的信息说明(clamav版本号等)
狂客队长
01-05 4119
clamav clamav版本号 clamav病毒库 clamav病毒库头文件
Linux——clamAV查杀病毒与防护
Hern(宋兆恒)
03-23 736
注意:CentOS的标准yum库中已经包含了clamAV 安装clamAV:yum -y install clamav 更新病毒库(需要时间很长,大约20~30分钟):freshclam 查杀当前目录并删除感染的文件:clamscan -r --remove 查杀当前目录并删除感染的文件:clamscan -r clamAV帮助命令:clamscan help ...
Libclamav库 API
wd_uestc的专栏
11-30 6561
每个使用libclamav库的应用程序都必须包括clamav.h头文件     #include (使用样例见clamscan/manager.c) 一、装载库 初始化装载库的函数列出如下: int cl_loaddb(const char * filename , struct cl_node **root , unsigned int *signo); //装载选择的数据库 int
Python中的av入门
牛肉胡辣汤
10-20 439
本文介绍了Python中av库的安装和基本用法,包括加载和播放音频文件、解码和编码视频文件、剪辑和合并多媒体文件等功能。希望通过本文的介绍,你能够快速上手av库,并在多媒体处理中发挥其强大功能。如有更多需求或深入学习,你可以参考av库的官方文档,链接如下:​​av官方文档​​。当av库在Python中的使用场景非常广泛,可以应用于音频和视频处理的各个方面。下面以一个实际应用场景为例,给出示例代码。
一些音视频编解码相关的开源库
fengruoying93的专栏
04-24 2910
参考:https://www.cnblogs.com/cyblogs/p/10722306.html https://blog.csdn.net/fanyun_01/article/details/103565661 不管视频编解码,图像编解码,音频编解码,都有很多组织基金在推动。 当然,在一些特定的情景下,需要用起来编解码库, 而一般这些库都会有编译困难,使用困难等等困难综合症。 图像方面,已经有stb_image,spot,freeimage等编解码库系列,做得特别赞。 https://gi
QtAv库编译 (Qt5.3.2+Mingw4.9)
活到老、学到老
01-08 3396
1.简介: Qtav库是基于FFmpeg和Portaudio的基础上进行再次封装,方便使用的音视频播放库,因此在使用的使用必须依赖ffmpeg和protaudio. 2.材料准备: 1) 下载QTAV源码:https://github.com/wang-bin/QtAV 2) 下载ffmpeg和protaudio:下载FFmpeg和Portaudio库以及相应的头文件,因为QtAV库是
clamav更新病毒库报错
09-08
关于ClamAV更新病毒库报错的问题,可能是由于以下原因导致的: 1. ClamAV版本过旧,需要更新到最新版本。 2. ClamAV配置文件中指定的病毒库地址不正确或无法访问。 3. ClamAV所在的服务器无法连接到病毒库地址,可能是网络问题或者防火墙限制。 针对这些问题,可以尝试以下解决方法: 1. 更新ClamAV到最新版本,可以从官方网站下载最新版本的安装包进行升级。 2. 检查ClamAV配置文件中指定的病毒库地址是否正确,可以手动更新配置文件,或者使用ClamAV提供的命令行工具进行配置。 3. 检查服务器的网络连接情况和防火墙设置,确保可以正常连接到病毒库地址。 希望这些方法可以解决您的问题。如果还有其他问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值