什么？竟然还有人不会添加ClamAV第三方signatures？

nikonikoni

目前，安全软件的“开源”方案基本只有两个选择，一个是由Cisco推出的ClamAV，仅提供纯命令行调用的引擎，另一个就是Elastic Defend，提供了完整的安全方案（包括NGAV和EDR）。

水一贴，证明下我还存在

既然已经有人做Elastic了，那么我就做下ClamAV，论坛有的内容已经很久远了

ClamAV作为开源引擎大头，由开源社区与思科公司共同开发，已经有了20年的历史，主要用于邮件服务器，是传统的特征码引擎，特征库主要包括：HASH、文件内容特征库、逻辑特征库、SHELLCODE、ASCII特征码
与Elastic不同，ClamAV是真正意义上的“自由（Free）”软件，分发在GPLv2许可证下，详见https://github.com/Cisco-Talos/clamav
开源社区与思科为ClamAV做了非常详细的docs：https://docs.clamav.net/

先展示效果，样本包为8/26论坛的毒包https://bbs.kafan.cn/thread-2272847-1-1.html

提供了详细的报毒名，UNOFFICIAL为第三库的结果
不要问我为什么和楼里的结果相差那么大，问就是我没钱了
由于坛内的样本的特殊性，所以效果并不好，当玩具玩玩还是可以的

在Win上实在麻烦，我选择在Linux发行版Arch Linux上部署

正好手上有个老电脑，就用来做实验了 差点把ip放进去了

有Pacman包


首次运行需要更新数据库，蓝框为官库，红框为已经添加好了的securiteinfo提供的signatures，其他由Fanfrisch添加


安装Fanfrisch，在Aur里 她在对我笑！！！！


编辑配置文件
仿照https://rseichter.github.io/fangfrisch/#_configuration

编辑完配置文件后别忘记设置权限。。。不然会报错
在普通用户下运行

1. sudo -u clamav /usr/bin/fangfrisch --conf /etc/fangfrisch/fangfrisch.conf initdb

复制代码

刷新数据库
Enable the fangfrisch.timer (system-level).

Securiteinfo推荐直接将signatures添加到freshclam.conf中，可以查看freshclam.conf

# With this option you can provide custom sources for database files.
# This option can be used multiple times. Support for:
#   http(s)://, ftp(s)://, or file://
# Default: no custom URLs
#DatabaseCustomURL http://myserver.example.com/mysigs.ndb
#DatabaseCustomURL https://myserver.example.com/mysigs.ndb
#DatabaseCustomURL https://myserver.example.com:4567/allow_list.wdb
#DatabaseCustomURL ftp://myserver.example.com/example.ldb
#DatabaseCustomURL ftps://myserver.example.com:4567/example.ndb
#DatabaseCustomURL file:///mnt/nfs/local.hdb

建议检查/var/lib/clamav/ 目录

407886384

Asus品牌的NAS（Asustor）目前用的ClamAV，不清楚防护效果如何

ywfox2008

当个娱乐玩具练练手还是不错的，日常防护。。。。。呵呵

蒙特卡洛

楼主能讲讲这个东西的应用场景吗？意思是可以自定义查杀某种病毒？

nikonikoni

蒙特卡洛 发表于 2024-9-16 22:34
楼主能讲讲这个东西的应用场景吗？意思是可以自定义查杀某种病毒？

服务器场景的Linux/Unix 以及邮件服务器, 搭配防火墙使用

chx818

ywfox2008 发表于 2024-9-13 21:38
当个娱乐玩具练练手还是不错的，日常防护。。。。。呵呵

这玩意是个纯扫描器，压根就没有防护