查看: 2097|回复: 6
收起左侧

[分享] 什么?竟然还有人不会添加ClamAV第三方signatures?

[复制链接]
nikonikoni
发表于 2024-9-7 13:08:08 | 显示全部楼层 |阅读模式
本帖最后由 nikonikoni 于 2024-9-23 21:58 编辑
目前,安全软件的“开源”方案基本只有两个选择,一个是由Cisco推出的ClamAV,仅提供纯命令行调用的引擎,另一个就是Elastic Defend,提供了完整的安全方案(包括NGAV和EDR)。

水一贴,证明下我还存在

既然已经有人做Elastic了,那么我就做下ClamAV,论坛有的内容已经很久远了

ClamAV作为开源引擎大头,由开源社区与思科公司共同开发,已经有了20年的历史,主要用于邮件服务器,是传统的特征码引擎,特征库主要包括:HASH、文件内容特征库、逻辑特征库、SHELLCODE、ASCII特征码
与Elastic不同,ClamAV是真正意义上的“自由(Free)”软件,分发在GPLv2许可证下,详见https://github.com/Cisco-Talos/clamav
开源社区与思科为ClamAV做了非常详细的docs:https://docs.clamav.net/

先展示效果,样本包为8/26论坛的毒包https://bbs.kafan.cn/thread-2272847-1-1.html

提供了详细的报毒名,UNOFFICIAL为第三库的结果
不要问我为什么和楼里的结果相差那么大,问就是我没钱了
由于坛内的样本的特殊性,所以效果并不好,当玩具玩玩还是可以的

在Win上实在麻烦,我选择在Linux发行版Arch Linux上部署

正好手上有个老电脑,就用来做实验了 差点把ip放进去了

有Pacman包


首次运行需要更新数据库,蓝框为官库,红框为已经添加好了的securiteinfo提供的signatures,其他由Fanfrisch添加


安装Fanfrisch,在Aur里 她在对我笑!!!!


编辑配置文件
仿照https://rseichter.github.io/fangfrisch/#_configuration

编辑完配置文件后别忘记设置权限。。。不然会报错
在普通用户下运行
  1. sudo -u clamav /usr/bin/fangfrisch --conf /etc/fangfrisch/fangfrisch.conf initdb
复制代码
刷新数据库
Enable the fangfrisch.timer (system-level).

Securiteinfo推荐直接将signatures添加到freshclam.conf中,可以查看freshclam.conf
# With this option you can provide custom sources for database files.
# This option can be used multiple times. Support for:
#   http(s)://, ftp(s)://, or file://
# Default: no custom URLs
#DatabaseCustomURL http://myserver.example.com/mysigs.ndb
#DatabaseCustomURL https://myserver.example.com/mysigs.ndb
#DatabaseCustomURL https://myserver.example.com:4567/allow_list.wdb
#DatabaseCustomURL ftp://myserver.example.com/example.ldb
#DatabaseCustomURL ftps://myserver.example.com:4567/example.ndb
#DatabaseCustomURL file:///mnt/nfs/local.hdb

建议检查/var/lib/clamav/ 目录

评分

参与人数 4经验 +80 魅力 +1 人气 +6 收起 理由
白露为霜 + 80 + 1 感谢支持,欢迎常来: )
无垠穹宇 + 3 版区有你更精彩: )
RainCloud9 + 1 精品文章
胡淇允 + 2 精品文章

查看全部评分

407886384
发表于 2024-9-8 13:48:09 | 显示全部楼层
Asus品牌的NAS(Asustor)目前用的ClamAV,不清楚防护效果如何
ywfox2008
发表于 2024-9-13 21:38:58 | 显示全部楼层
当个娱乐玩具练练手还是不错的,日常防护。。。。。呵呵
蒙特卡洛
发表于 2024-9-16 22:34:24 | 显示全部楼层
楼主能讲讲这个东西的应用场景吗?意思是可以自定义查杀某种病毒?
nikonikoni
 楼主| 发表于 2024-9-16 23:24:42 | 显示全部楼层
蒙特卡洛 发表于 2024-9-16 22:34
楼主能讲讲这个东西的应用场景吗?意思是可以自定义查杀某种病毒?

服务器场景的Linux/Unix 以及邮件服务器, 搭配防火墙使用
chx818
发表于 2024-9-23 11:08:21 | 显示全部楼层
ywfox2008 发表于 2024-9-13 21:38
当个娱乐玩具练练手还是不错的,日常防护。。。。。呵呵

这玩意是个纯扫描器,压根就没有防护
种麦成谷
发表于 2024-10-27 23:54:42 | 显示全部楼层
纯扫描器也不错,就当清理垃圾用。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 17:49 , Processed in 0.129664 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表