本文介绍了ClamAV的CVD文件,它是一个病毒签名压缩文件,用于存储和解压生成病毒定义。CVD文件头部包含引擎库信息,其内容经过zlib压缩。通过`cli_untgz`函数解压后,每个病毒库文件的前512字节存储了名称和签名数量,以此识别和读取病毒签名。
这个cli_untgz函数,是用来解压CVD文件的。
那么,就刚先搞清楚CVD文件的功能作用。下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件。原因就是,那些文件都是由CVD文件解压生成的,是的,CVD是个病毒签名压缩文件。(下面是daily.cvd解压后的)
CVD文件,前512个bytes是一个特殊的头文件,在前面也提到过了(http://blog.youkuaiyun.com/betabin/article/details/7448447)。记录引擎病毒库的简单信息。然后后面的内容,曾经多次用UE打开,发现是乱码。所以,是个压缩文件。压缩类型,根据cli_untgz函数里面使用的gzread读取函数,可以猜到是使用zlib压缩库压缩的。然后根据函数内容,接着可以判断出,原信息是一个接着一个病毒库文件存储的。既是每个新的病毒库开始的前512bytes中,存储着名字及病毒签名数量。接着就是病毒签名信息。通过签名的病毒签名数量,可以判断正在读取的病毒签名是否读取完。
还是贴代码注释比较好理解:
//解压CVD文件到临时目录中
int cli_untgz(int fd, const char *destdir)
{
char *path, osize[13], name[101], type;
char block[TAR_BLOCKSIZE];
int nbytes,
最低0.47元/天 解锁文章
扫一扫
1385
到【灌水乐园】发言
