[ТЕМА ЗАКРЫТА]
Опции темы
18.08.2010 16:26  
John Doe
Думаю, многие из вас знают о существовании этого антивируса.
У меня он фильтрует веб-траффик от squid, но не об этом сейчас речь.
Речь даже не о том, насколько он ловуч и прочее. Споткнулся я совершенно неожиданно о его возможность самостоятельного пополнения вирусной базы (чувствуете профит?). Теперь не надо плакать, что кто-то что-то там не ловит пока еще. Находите одного зверька, добавляете в базу и все, все компы офиса от него защищены. Помимо официальной базы, которую пополняют другие, вы можете пополнять свою собственную базу злобствующими в вашем регионе зверьками или нежелательным софтом.
Антивирус многоплатформенный, если что.
Итак. Основная дока находится тут
Поясню на примере.
Есть у нас файлик trojan.exe и базы ClamAV лежат в /var/lib/clamav
Работает с базами утилита sigtool, входящая в состав ClamAV.
Код:
sigtool --md5 trojan.exe > /var/lib/clamav/local.hdb
ВСЕ!
Например, я добавил зверька по блокированию с смс-вымогательством.
Содержимое файла:
Цитата:
47d307fa1b6ba3f90d84b80e840e2fb8:177664:SMS.BLOCKER
тут, конечно существенное "но". Этот способ годится для тупых троянов, неспособных изменять собственную контрольную сумму. Для нежелательных приложений он тоже вполне пригоден.
Для вылавливания заразы по какой-то части придется повозиться. А именно, почитать доку и посмотреть примеры, распаковав основную базу.
Код:
sigtool --unpack main.cvd
В итоге в main.ndb можно увидеть, например, такое:
Код:
HTML.Phishing.Bank-26:3:*:3c62723e7765206b696e646c792061736b20796f7520746f20636f6e6669726d20796f75722061746d20636172642064657461696c73203c6120687265663d22687474703a2f2f
Где первая часть - название вируса, вторая тип файлов, в которых он встречается (в доке есть расшифровка), третья - часть exe, например, где искать сигнатуру и последняя - сама сигнатура в hex.
Для получения сигнатуры можно слить в файл дамп файла-вируса. Например, так:
Код:
cat trojan.exe | sigtool --hex-dump > virus.sig
Для работы с hex неплохо бы еще пользоваться утилитой xxd в Линуксе, проще будет при, например, кодировании известной сигнатуры вируса (многие авторы вирусов оставляют в нем подписи обычным текстом).
Код:
echo WOW,BORED VIRUS | xxd -ps
574f572c44414d4e45442056495255530a
Соответственно, в сигнатуре должно быть что-то вроде:
Код:
BORED VIRUS:0:*:574f572c44414d4e45442056495255530a
(последнюю сигнатуру не проверял)
 
 
Опции темы


Часовой пояс GMT +3, время: 05:25.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.