ClamAV学习【7】——病毒库文件格式学习

最新推荐文章于 2025-02-26 11:56:32 发布
最新推荐文章于 2025-02-26 11:56:32 发布
阅读量7.1k 收藏 2
点赞数
分类专栏: ClamAV 文章标签: byte file less 数据库 build 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/betabin/article/details/7448447
版权
这篇博客详细介绍了ClamAV病毒库的文件格式,包括CVD文件头结构、不同类型的签名(如MD5、PE section based、Body-based)及其匹配规则。还探讨了PE文件的图标签名匹配和不同文件类型的签名处理方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

搜查到一份详细的ClamAV病毒文件格式资料(http://download.youkuaiyun.com/detail/betabin/4215909),英文版,国内这资料不多的感觉。

重点看了下有关PE的病毒文件格式,就是*.mdb文件。还有之前郁闷用途的*.cvd文件。

就粘贴下刚刚的一点笔记:

1、介绍
CVD的前512bytes是其文件头,格式如下:
ClamAV-VDB:build time:version:number of signatures:functionality
level required:MD5 checksum:digital signature:builder name:build
time (sec)
2、保存脱壳后的签名,这样可以预防用其它壳
3、签名格式
3.1、MD5
最简单的方法,比较适用于静态malware。*.hdb文件,可以包含任意数量的签名,是最简单的数据库文件。

放在share/clamav下可以自动加载。用哈希签名要注意,只要遇到有一个byte不同,就会停止匹配。
3.2、PE section based的MD5
.mdb文件,格式如下:
PESectionSize:MD5:MalwareName
(貌似Cl

最低0.47元/天 解锁文章
clamav病毒库格式解析
zourzh123的专栏
05-14 1万+
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览
BetaBin
04-13 5097
这个cli_untgz函数,是用来解压CVD文件的。 那么,就刚先搞清楚CVD文件的功能作用。下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件。原因就是,那些文件都是由CVD文件解压生成的,是的,CVD是个病毒签名压缩文件。(下面是daily.cvd解压后的) CVD文件,前512个bytes是一个特殊的头文件,在前面也提到过了(http://blog.csd
ClamAV病毒签名方法大全
04-11
ClamAV病毒签名方法大全,介绍了其不同格式的病毒库文件。
记一次Linux服务器上查杀木马经历
weixin_30455023的博客
08-24 1242
开篇前言 Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的...
【防病毒】Clamav杀毒软件离线安装部署
最新发布
FallenQu的博客
02-26 658
/clamscan --no-summary -ri /tmp #该命令只显示找到的病毒信息。./freshclam #(升级病毒库,离线不能升级病毒库,需要后期手动下载病毒库)前置:准备好clamav安装文件,三个病毒库文件。#上传病毒库文件到/var/lib/clamav7、修改配置文件freshclam.conf。6、修改配置文件clamd.conf。-i 只显示发现的病毒文件。3、创建日志和病毒库目录。1、添加用户组和组成员。8、创建病毒库文件夹。-r 递归扫描子目录。
Linux防护工具clamav病毒库离线版
12-07
用于Linux防护工具clamav病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别
Clamav安装升级病毒库 2024最新版 保姆级
2301_80268311的博客
11-13 1580
Centos 命令 下载linux对应版本的包 我这里是Centos 和 Rocky的包 所以用的rpm,根据操作系统的不同下载不同版本。Centos用yum -y install 包名 Rocky用dnf -y install 报名。1.下载rpm包 去官网https://www.clamav.net/2.在/usr/local/etc/ 这个目录里面编辑两个文件。3.复制成.conf文件 这样更新的时候才能识别到文件。这两个文件的第八行 Expamle添加注释。4.存放病毒库的位置。
linux clamav 离线更新病毒库
guoguangwu的专栏
05-10 1万+
到官网下载daily.cvd,地址为每天的病毒库下载地址 将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。 执行clamdscan --reload。它会通知clamd去重新加载病毒库。 然后执行clamdscan --version,查看版本信息。 例如我的结果如下: ClamAV 0.105.0/26531/Wed May 4 08:05:36 2022 26531 这个值会变。后面的为时间。 例如我用今天5-10的病毒库看看结果 ClamAV...
使用 ClamAV 命令行查杀服务器端病毒或恶意文件
JiaWen的博客
07-12 2320
ClamAV 是一个以共享库形式提供的反病毒引擎,它提供许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序...
centos7 安装clamav 进行病毒扫描查杀
Emil的博客
10-16 1307
linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,一般都是管理员手动分析进行查杀,除了手动分析查杀病毒外,还可以借助杀毒软件进行查杀,就像windows都有杀毒软件一样,liunx的杀毒软件也是有的,但基本上都是开源的小工具,由于本身linux服务器的病毒就较少,且相对windows更难以入侵,所以专门的Linux杀毒软件较少,专门研...
离线版ClamAV病毒库下载指南
总结:本资源为Linux用户提供了一个非常实用的工具——clamav的离线版病毒库文件。在无法实现在线更新的环境中,用户可以自行下载并使用这些文件来更新ClamAV病毒库,确保其防病毒功能能够覆盖最新的恶意软件威胁...
开源安防软件ClamAV —— 筑梦之路
筑梦之路
01-14 1173
ClamAV 由 Tomasz Kojm 于 2001 年创建,最初的目的是提供一个可以在 Unix 平台上使用的免费防病毒软件。随着时间的推移,ClamAV 的功能不断扩展,现在已经支持多个操作系统,包括 Linux、Windows 和 macOS。
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
热门推荐
楚枫默寒的博客
05-12 1万+
一、简介 Clam AntiVirushttp://www.clamav.net/download.htmlClam AntiVirus是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。 二、安装 安装epel软件源 # 安装 [root@Centos7 ~]# yum install -y epel-release # 缓存 [root@Centos7 ~]# yum clean all && yum makecache
开源防病毒引擎ClamAV
wbsu2004的博客
07-07 1万+
ClamAV® 是一种开源防病毒引擎,用于检测木马、病毒、恶意软件和其他恶意威胁。
ClamAV开源病毒库使用例子
文石_2009的博客
12-08 511
这个示例代码将扫描名为`test.txt`的文件。如果文件被感染了病毒,程序将输出“File is infected with a virus.”;如果文件干净,将输出“File is clean.”;ClamAV是一个开源的反病毒引擎,用于检测恶意软件和病毒。ClamAV提供了一个名为`cl_scanfile`的函数,用于扫描单个文件是否包含病毒。// 要扫描的文件路径。// 使用cl_engine_compile()函数预编译引擎,以提高扫描速度。// 初始化ClamAV引擎。
Clamav私有病毒特征库
背锅浩的博客
03-10 1610
Clamav杀毒软件 安装 源码安装 **[下载地址](https://www.clamav.net/downloads).** 过程不过多阐述,就是configure;make;make install那一套 yum安装 rpm -Uvh http://mirrors.aliyun.com/repo/Centos-7.repo yum install -y clamav 其他版本yum源自行寻找即可 配置 私有病毒特征库 下载脚本 #!/bin/bash date=$(date +'%F') log
Linux环境下安装病毒扫描工具(ClamAV)和漏洞扫描工具(Greenbone)
lxl的博客
11-28 3673
Greenbone是一种开源的漏洞扫描工具,用于评估和分析网络系统的安全性。它提供了多种功能和用法,帮助用户扫描并发现系统中的漏洞。1,下载Greenbone的docker-compose.yml配置文件。4,修改Greenbone默认密码(这个要修改,不然扫描会有中危风险)4,扫描指定目录,然后将感染文件移动到指定目录,并记录日志。3,递归扫描home目录,将病毒文件删除,并且记录日志。1,下载docker-compose二进制文件。3,根据yml文件在镜像仓库拉取指定的镜像。2,递归扫描home目录。
clamAV防病毒安装部署(单机部署)
Ccmanito的博客
06-21 2677
因此,clamdscan 的行为会受到 clamd.conf 文件中的配置的影响。如果报如下的错,说明权限不够,因为clamav是使用clamv这个用户,该用户对/var/lib/clamav目录没有足够权限,解决办法就是赋予权限。# centos7的systemd文件是放在/usr/lib/systemd/system/提示配置文件是在/usr/local/etc下面找的,所以需要将配置文件软链接到这个下面。# ubuntu的systemd文件时放在/lib/systemd/system/
clamav linux系统扫描病毒,查杀病毒安装与使用
cf
12-14 3559
1.clamav 有两个命令:clamdscan、clamscan clamscan 命令:通用,不依赖服务,命令参数较多,执行速度稍慢 clamdscan 命令:是一个搭配clamd常驻服务的扫毒工具,功能非常类似clamscan,执行效率较高,但是可用的参数较少(因为部分功能是由 clamd 控制的)。不用带 -r ,默认会递归扫描子目录 2.安装 apt -y install clamav clamtk clamav-daemon clamdscan device-tree-compile
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值