Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение

ClamAV : Операционные системы и программное обеспечение

27.11.2024 10:46


18.08.2010 16:26
Думаю, многие из вас знают о существовании этого антивируса.
У меня он фильтрует веб-траффик от squid, но не об этом сейчас речь.
Речь даже не о том, насколько он ловуч и прочее. Споткнулся я совершенно неожиданно о его возможность самостоятельного пополнения вирусной базы (чувствуете профит?). Теперь не надо плакать, что кто-то что-то там не ловит пока еще. Находите одного зверька, добавляете в базу и все, все компы офиса от него защищены. Помимо официальной базы, которую пополняют другие, вы можете пополнять свою собственную базу злобствующими в вашем регионе зверьками или нежелательным софтом.
Антивирус многоплатформенный, если что.
Итак. Основная дока находится тут
Поясню на примере.
Есть у нас файлик trojan.exe и базы ClamAV лежат в /var/lib/clamav
Работает с базами утилита sigtool, входящая в состав ClamAV.
Код:
sigtool --md5 trojan.exe > /var/lib/clamav/local.hdb
ВСЕ!
Например, я добавил зверька по блокированию с смс-вымогательством.
Содержимое файла:
Цитата:
47d307fa1b6ba3f90d84b80e840e2fb8:177664:SMS.BLOCKER
тут, конечно существенное "но". Этот способ годится для тупых троянов, неспособных изменять собственную контрольную сумму. Для нежелательных приложений он тоже вполне пригоден.
Для вылавливания заразы по какой-то части придется повозиться. А именно, почитать доку и посмотреть примеры, распаковав основную базу.
Код:
sigtool --unpack main.cvd
В итоге в main.ndb можно увидеть, например, такое:
Код:
HTML.Phishing.Bank-26:3:*:3c62723e7765206b696e646c792061736b20796f7520746f20636f6e6669726d20796f75722061746d20636172642064657461696c73203c6120687265663d22687474703a2f2f
Где первая часть - название вируса, вторая тип файлов, в которых он встречается (в доке есть расшифровка), третья - часть exe, например, где искать сигнатуру и последняя - сама сигнатура в hex.
Для получения сигнатуры можно слить в файл дамп файла-вируса. Например, так:
Код:
cat trojan.exe | sigtool --hex-dump > virus.sig
Для работы с hex неплохо бы еще пользоваться утилитой xxd в Линуксе, проще будет при, например, кодировании известной сигнатуры вируса (многие авторы вирусов оставляют в нем подписи обычным текстом).
Код:
echo WOW,BORED VIRUS | xxd -ps
574f572c44414d4e45442056495255530a
Соответственно, в сигнатуре должно быть что-то вроде:
Код:
BORED VIRUS:0:*:574f572c44414d4e45442056495255530a
(последнюю сигнатуру не проверял)
Часовой пояс GMT +3, время: 10:46.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.