AjLL 打造属于自己的本地多引擎扫描不再是奢侈的梦想 【0.094.401 – 06/18/2009】

saibanzhizun

我也来试试

bawg002

呵呵
太深奥了

Ikali

有空研究一下

jimmyleo

0.087.301 – 06/14/2009
+ 文本格式报告输出：引擎为中心
+ 报告分析结果在界面双向显示：对象为中心/引擎为中心
+ 引擎为中心报告分析方式：参数为ReportMethod=EngineCentered

jimmyleo

大家反应使用苦手，所以拜托Alax写了个ClamWin的样例。

ClamWin 的 示范:


首先，要设定文件有两个， Display.ini 和 Scan.ini

第一步，设定Display.ini :
在 [Scan] 下 加入你显示的引擎的名字，用" , "(不含" ")来分隔
比如 Display=ClamWin
之后在 [IconPath] 下加入图示 比如
ClamWin=%ExtractPath%\Skin\Icon\clamwin.bmp
但你在%ExtractPath%\Skin\Icon\下必须先要有clamwin.bmp这个图示文件


第二步，设定Scan.ini : 加入

[ClamWin]
AVPath=%ExtractPath%\Scans\ClamWin\clamscan.exe
ReportPath=%ExtractPath%\Reports\ClamWin.txt
Parameter=--no-summary --quiet --infected --tempdir=%extractkimsdir%\Scans\ClamWin\temp --database=%ExtractPath%\Scans\ClamWin --log=%ReportPath% --detect-pua=yes --detect-broken=yes --detect-structured=yes --recursive=yes %ToScan%
Method=StrExp
RegExp=
Delimiter=1
Prefix1=%FileToScan%:
Postfix1=FOUND


基本上就这3个 步骤 就完成添加ClamWin引擎了，

各个引擎的设定只要根据 该引擎的设定 作少少修改就可以
其中比较重要的是Parameter, Prefix, Postfix (详细的注解可以参考 Readme)
比如 Clamwin 扫瞄后的 log 是这样显示的:
E:\malware\eicar.com: Eicar-Test-Signature FOUND
Prefix 就是E:\malware\eicar.com:，而 Postfix就是 FOUND
为什么 上面的Prefix是 %FileToScan%:呢? 因为 %FileToScan% 就代表你要扫瞄的文件的位置的变量
或者我再举一些例子， 比如
E:\malware\eicar.com infected : Eicar-Test-Signature 那
Prefix1= infected :
Postfix1= %EOL% (这个变量代表同一行最尾报出来的名字什么都没有，简称后缀)

又或者
E:\malware\eicar.com infected ‘Eicar-Test-Signature’
Prefix1=‘
Postfix1=’

换句话说 我们要的就是一些特定的报告形式中间的东西，也就是 报出来的名称


另外， Parameter 一般 CMD 该cls 就可以出来
比如cmd clamscan.exe --help
一般是  /?, –h, /h, --help 这4种

ClamWin为开源防软，可于http://downloads.sourceforge.net/clamwin/clamwin-0.95.2-setup.exe下载并自行提取。
AjLL支持绝对路径的，所以并非必须放置在特定目录下。支持相对路径和变量的目的是为了便携的需要。

另外，欢迎Follow我的Twitter关注AjLL进度：https://twitter.com/jimmyleo

jimmyleo

新 引擎为中心报告样例见

http://bbs.kafan.cn/viewthread.p ... p;page=2#pid8142689

tun

今天在样本区看到楼主出手才知道有这东西 ... 真是相见恨晚

顶一下，真的很好用
写配置文件要花点时间，不过成果还不错。
希望能像 VirusTotal，Found Nothing 就用绿色标注，有发现就红色标注。

请问文件名称旁边那个 Result 用途是 ...？

jaykwok

这个好像很好玩

jimmyleo

多谢支持！嘎嘎~~

见你截图可知，你现在使用的是文件为中心的报告分析方式（ObjectCentered）。即点击文件，在左边显示相应的结果。而此时文件的Result期望做的是侦测比，但是还没有动手写。

如果参数修改为EngineCentered（引擎为中心）。就是点击左边，右边显示每个文件的结果。

这个是最新更新的特征功能，即双向显示功能。

你说的显示颜色区分，也早有考虑 XD。在ToDo List里。

hoho 敬请期待~~

[ 本帖最后由 jimmyleo 于 2009-6-16 12:10 编辑 ]

Beloved

好东西要顶

hips +  自己 DIY 的本地多引擎扫描