s426254/DNWA
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
20c9f1ae56
DNWA/13/1.txt

26 lines
1.5 KiB
Plaintext
Raw Normal View History

...
2021-01-26 23:08:08 +01:00
1.Co to CVD
CVD (ClamAV Virus Database) to podpisany cyfrowo 'tarball' zawierający jedną lub więcej baz danych
2. Dodawanie sygnatur
a) HTML
...
2021-01-28 19:30:21 +01:00
ClamAV zawiera znormalizowany dla ułatwienia HTML. Uruchomienie `sigtool --html-normalise <file.html>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje:
...
2021-01-26 23:08:08 +01:00
nocomment.html - znormalizowany, lower-case, wyrzucone komentarze i white-spaces
notags.html - jak powyżej, ale tagi html są wyrzucone
...
2021-01-28 19:30:21 +01:00
javascript - każdy skrypt jaki był załączony w html'u, również znormalizowany
...
2021-01-26 23:08:08 +01:00
b) Pliki tekstowe
...
2021-01-28 19:30:21 +01:00
Tak jak powyżej, znormalizowane pliki ASCII. Uruchomienie `sigtool --ascii-normalise <file.txt>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje plik normalised_text. Reguły dopasowania normalizacji ASCII powinny być typu siódmego.
...
2021-01-26 23:08:08 +01:00
c) Skompresowane pliki wykonywalne (UPX, FSG, Petite, ...)
...
2021-01-28 19:30:21 +01:00
ClamAV będzie próbował automatycznie wypakować plik. By zobaczyć wynik uruchom clamscan z opcjami --debug --leave-temps. Przykładowy wynik:
...
2021-01-26 23:08:08 +01:00
LibClamAV debug: UPX/FSG/MEW: empty section found - assuming compression
LibClamAV debug: FSG: found old EP @119e0
LibClamAV debug: FSG: Unpacked and rebuilt executable saved in
/tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c
W powyższym przykładie /tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c jest wypakowanym plikiem wykonywalnym
3. Nazwy plików w archiwum: clamav-<hash> (jak w przykładzie z 2c)
Reference in New Issue Copy Permalink