ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览

最新推荐文章于 2024-06-21 14:31:37 发布
最新推荐文章于 2024-06-21 14:31:37 发布
阅读量5k 收藏 3
点赞数 1
分类专栏: ClamAV 文章标签: path descriptor file null header 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BetaBin/article/details/7456873
版权
本文介绍了ClamAV的CVD文件,它是一个病毒签名压缩文件,用于存储和解压生成病毒定义。CVD文件头部包含引擎库信息,其内容经过zlib压缩。通过`cli_untgz`函数解压后,每个病毒库文件的前512字节存储了名称和签名数量,以此识别和读取病毒签名。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个cli_untgz函数,是用来解压CVD文件的。

那么,就刚先搞清楚CVD文件的功能作用。下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件。原因就是,那些文件都是由CVD文件解压生成的,是的,CVD是个病毒签名压缩文件。(下面是daily.cvd解压后的)


CVD文件,前512个bytes是一个特殊的头文件,在前面也提到过了(http://blog.youkuaiyun.com/betabin/article/details/7448447)。记录引擎病毒库的简单信息。然后后面的内容,曾经多次用UE打开,发现是乱码。所以,是个压缩文件。压缩类型,根据cli_untgz函数里面使用的gzread读取函数,可以猜到是使用zlib压缩库压缩的。然后根据函数内容,接着可以判断出,原信息是一个接着一个病毒库文件存储的。既是每个新的病毒库开始的前512bytes中,存储着名字及病毒签名数量。接着就是病毒签名信息。通过签名的病毒签名数量,可以判断正在读取的病毒签名是否读取完。

还是贴代码注释比较好理解:


                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    


                



	

		

			

				
					
clamav的病毒库文件文件头的信息说明(clamav版本号等)

				
			

			

				

					狂客队长
				

				

					01-05
					
					4603
					
				

			

		

		

			
				
clamav clamav版本号 clamav病毒库 clamav病毒库头文件 

			
		

	



                

            
              



	

		

			

				
					
ClamAV学习【4】——cli_magic_scandesc函数浏览

				
			

			

				

					BetaBin
				

				

					04-04
					
					2701
					
				

			

		

		

			
				
今晚继续浏览ClamAV代码,挖掘到了cli_magic_scandesc函数,发现前面包装了很多次扫描函数,这里就是最后一层的感觉。一些扫描限制判断加上文件类型判断,采用不同扫描函数处理。
(PS:发现这些函数个头都很大,虽然按着功能分段好理解,但是书本不是说一个函数一个功能模块么?难道是不实际,还是理解错误?)
代码分析如下:

//magic,说明这很神奇
int cli_magic

			
		

	



              


  
              

                


	

		

			

				
					
ClamAv的病毒签名压缩包cvd

				
			

			

				

					04-12
				

			

		

		

			
				
ClamAv的病毒签名压缩包cvd,不过不是最新的。

			
		

	





	

		

			

				
					
clamav 解压daily.cvd文件

				
			

			

				

					guoguangwu的专栏
				

				

					05-15
					
					1256
					
				

			

		

		

			
				
使用file命令查看daily.cvd文件类型:


# file -b /var/lib/clamav/daily.cvd
Clam AntiVirus database 11 May 2022 04-06 -0400, version2653, gzipped


说明是压缩后的文件,但是使用unzip进行解压会失败。应该是clamav自定义的一种文件格式。可以再看一遍上面的输出结果。

然后参考博客ClamAV学习9】——cvd文件解析cli_untgz函数浏览

知道cli_untgz可以解压c

			
		

	



		

			
		



	

		

			

				
					
cvdupdate:ClamAV专用数据库镜像更新程序工具

				
			

			

				

					03-12
				

			

		

		

			
				
一种用于下载和更新clamav数据库和数据库补丁文件的工具,用于托管您自己的数据库镜像。
 Micah Snyder(C)2021版权所有(C)。
关于
该工具将下载最新的ClamAV数据库以及最新的数据库补丁文件。
 该项目代替了Frederic Vanden Poel的clamdownloader.pl Perl脚本,该脚本以前在这里提供:  : clamdownloader.pl
 可以经常运行此工具,但是只有在有新内容要下载时,它才会下载新内容。 如果您以某种方式设法下载得太频繁(例如:通过使用cvd clean all和cvd update反复进行),则官方数据库服务器可能会拒绝您的下载请求,并且一个或多个数据库可能会一直处于冷却状态,直到可以安全地重试。
要求
Python 3.6或更高版本。
 启用了DNS的Internet连接。
安装
您可以使用pip从PyPI安装cvdu

			
		

	





	

		

			

				
					
golang 往h2non/filetype中添加clamav病毒库类型

				
			

			

				

					guoguangwu的专栏
				

				

					01-09
					
					278
					
				

			

		

		

			
				
golang 往h2non/filetype中添加clamav病毒库类型

			
		

	





	

		

			

				
					
ClamAV学习【5】—— cli_scanpe函数浏览

				
			

			

				

					BetaBin
				

				

					04-05
					
					8424
					
				

			

		

		

			
				
这近2000行的代码,要是没有Source Insight,都不知道怎么看下去。跟着跟着来到了PE文件查杀的地方,发现前面都中规中矩地进行PE属性检查,中间一段开始扫描每个区块,然后和特征库的size对比扫描查毒。再后面,加了对一些流行病毒的特定查杀。(这个比较晕。)
代码注释如下(代码过长,可能有些人加载较慢,请耐心等待……):

//传说中的PE文件查杀
int cli_scanpe(i

			
		

	





	

		

			

				
					
LibClamAV Error: cli_loaddbdir(): No supported database file问题解决

				
			

			

				

					程序员的一天
				

				

					09-15
					
					4875
					
				

			

		

		

			
				
网上搜索这个问题,出来的解决方案很多是创建clamd.sock,其实不需要!

1、问题描述
在centos7下安装ClamAV时,启动clamd报错,如下:
[root@程序员的一天 clamav]# clamd
LibClamAV Error: cli_loaddbdir(): No supported database files found in /usr/local/share/clamav
ERROR: Can't open file or directory

2、原因分析
原因:没有病毒库.

			
		

	





	

		

			

				
					
clamAV防病毒安装部署(单机部署)

					
最新发布

				
			

			

				

					Ccmanito的博客
				

				

					06-21
					
					2649
					
				

			

		

		

			
				
因此,clamdscan 的行为会受到 clamd.conf 文件中的配置的影响。如果报如下的错,说明权限不够,因为clamav是使用clamv这个用户,该用户对/var/lib/clamav目录没有足够权限,解决办法就是赋予权限。# centos7的systemd文件是放在/usr/lib/systemd/system/提示配置文件是在/usr/local/etc下面找的,所以需要将配置文件软链接到这个下面。# ubuntu的systemd文件时放在/lib/systemd/system/

			
		

	





	

		

			

				
					
Linux防护工具clamav病毒库离线版

				
			

			

				

					12-07
				

			

		

		

			
				
用于Linux防护工具clamav的病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别

			
		

	





	

		

			

				
					
记一次离线安装Clamav过程与方法

				
			

			

				

					qq_40850215的博客
				

				

					05-21
					
					5579
					
				

			

		

		

			
				
离线安装(没有网络的情况下)
1.下载安装包
需要先下载程序包,可以直接在官网下载
https://www.clamav.net/,下载clamav-0.103.2.tar.gz具体以最新版本为主
下载clamav的病毒库,三个文件,main.cvd | daily.cvd | bytecode.cvd文件
http://database.clamav.net/main.cvd将后缀改成这三个名字即可下载,可用迅雷添加链接的方式
通过Xshell把clamav安装包放到/tmp下
2.安装clamav的依赖

			
		

	





	

		

			

				
					
linux clamav 离线更新病毒库

				
			

			

				

					guoguangwu的专栏
				

				

					05-10
					
					1万+
					
				

			

		

		

			
				
到官网下载daily.cvd,地址为每天的病毒库下载地址

将daily.cvd拷贝到对应的目录中。默认为/var/lib/clamav/目录。

执行clamdscan --reload。它会通知clamd去重新加载病毒库。

然后执行clamdscan --version,查看版本信息。

例如我的结果如下:

ClamAV 0.105.0/26531/Wed May 4 08:05:36 2022

26531 这个值会变。后面的为时间。

例如我用今天5-10的病毒库看看结果

ClamAV...

			
		

	





	

		

			

				
					
clamav病毒库格式解析

					
热门推荐

				
			

			

				

					whatday的专栏
				

				

					03-28
					
					1万+
					
				

			

		

		

			
				
clamav简介


Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作,但也有许多图形接口的前端工具可用,另外由于其开放源代码的特性,在Windows与Mac OS X平...

			
		

	





	

		

			

				
					
Clamav杀毒软件安装与使用

				
			

			

				

					u011692164的专栏
				

				

					03-09
					
					3019
					
				

			

		

		

			
				
下载病毒库
ClamAVNet

main.cvd daily.cvd bytecode.cvd





或者通过以下链接下载

http://db.cn.clamav.net/daily.cvd

http://db.cn.clamav.net/main.cvd

http://db.cn.clamav.net/safebrowsing.cvd

http://db.cn.clamav.net/bytecode.cvd



2.下载rpm包(以suse11sp3为例)








...

			
		

	





	

		

			

				
					
CentOS主机上安装ClamAV杀毒软件

				
			

			

				

					weixin_47277340的博客
				

				

					12-04
					
					787
					
				

			

		

		

			
				
CentOS主机上安装ClamAV杀毒软件
1、安装epel
yum -y install epel-release,直到弹出complete


2、安装ClamAV
yum install –y clamav clamav-update,,中间会连续多次让你确认,直接输入"y"即可,直到弹出complete

3、更新病毒库
freshclam,第一次更新的时候出错,提示:
WARNING: Download failed (7) WARNING:  Message: Couldn’t connect 

			
		

	





	

		

			

				
					
【C 语言】文件操作 ( 文件加密解密 | 加密文件 )

				
			

			

				

					让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 ) 
				

				

					12-05
					
					3502
					
				

			

		

		

			
				
一、文件加密解密操作、
1、加密整 4096 字节的数据、
2、加密小于 4096 字节的数据、
二、完整代码示例、
1、文件加密操作、
2、DES 加密解密头文件、
3、第三方 DES 加密解密函数库源码、

			
		

	





	

		

			

				
					
算法学习【14】—— 1190. Reduced ID Numbers

				
			

			

				

					BetaBin
				

				

					07-25
					
					2624
					
				

			

		

		

			
				
题目来源:http://soj.me/1190



1190. Reduced ID Numbers


Constraints


Time Limit: 2 secs, Memory Limit: 32 MB

Description

T. Chur teaches various groups of students at university U. Ever

			
		

	





	

		

			

				
					
Windows程序输入输出重定向到网络

				
			

			

				

					BetaBin
				

				

					04-09
					
					2414
					
				

			

		

		

			
				
嗯,最近天气变幻无常……


最开始时源于想知道下NC的-e选项是怎么实现的,搜商有限,找到源码都不支持-e……


然后就搜到了windows管道方面的知识:微软msdn里面有提到“Creating a Child Process with Redirected Input and Output”(http://msdn.microsoft.com/en-us/library/win

			
		

	





	

		

			

				
					
Python:and和or的特殊性质

				
			

			

				

					BetaBin
				

				

					02-04
					
					6973
					
				

			

		

		

			
				
在Python 中,and 和 or 执行布尔逻辑演算,如你所期待的一样。但是它们并不返回布尔值,而是返回它们实际进行比较的值之一。
(类似C++里面的&&和||的短路求值)
( 在布尔环境中,0、''、[]、()、{}、None为假;其它任何东西都为真。但是可以在类中定义特定的方法使得类实例的演算值为假。)


and实例:
>>> 'a' and 'b'
'b'
>>> '' an

			
		

	





	

		

			

				
					
ClamAv病毒签名压缩包cvd的介绍

				
			

			

				

					
				

			

		

		

			
				
首先,关于【标题】提到的“ClamAv的病毒签名压缩包cvd”,我们可以展开关于ClamAV的病毒签名文件CVD文件)的基本概念和作用。  ClamAV(Clam AntiVirus)是一款开源的、跨平台的病毒扫描工具,它主要被用来检测...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 9

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值