1.Co to CVD
  CVD (ClamAV Virus Database) to podpisany cyfrowo 'tarball' zawierający jedną lub więcej baz danych

2. Dodawanie sygnatur
  a) HTML
    ClamAV zawiera znormalizowany dla ułatwienia HTML. Uruchomienie `sigtool --html-normalise <file.html>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje:

      nocomment.html - znormalizowany, lower-case, wyrzucone komentarze i white-spaces
      notags.html - jak powyżej, ale tagi html są wyrzucone
      javascript - każdy skrypt jaki był załączony w html'u, również znormalizowany

  b) Pliki tekstowe
    Tak jak powyżej, znormalizowane pliki ASCII. Uruchomienie `sigtool --ascii-normalise <file.txt>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje plik ‘normalised_text’. Reguły dopasowania normalizacji ASCII powinny być typu siódmego.


  c) Skompresowane pliki wykonywalne (UPX, FSG, Petite, ...)
    ClamAV będzie próbował automatycznie wypakować plik. By zobaczyć wynik uruchom clamscan z opcjami --debug --leave-temps. Przykładowy wynik:

      LibClamAV debug: UPX/FSG/MEW: empty section found - assuming compression
      LibClamAV debug: FSG: found old EP @119e0
      LibClamAV debug: FSG: Unpacked and rebuilt executable saved in
      /tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c
    
    W powyższym przykładie /tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c jest wypakowanym plikiem wykonywalnym

3. Nazwy plików w archiwum: clamav-<hash> (jak w przykładzie z 2c)