26 lines
1.5 KiB
Plaintext
26 lines
1.5 KiB
Plaintext
1.Co to CVD
|
||
CVD (ClamAV Virus Database) to podpisany cyfrowo 'tarball' zawierający jedną lub więcej baz danych
|
||
|
||
2. Dodawanie sygnatur
|
||
a) HTML
|
||
ClamAV zawiera znormalizowany dla ułatwienia HTML. Uruchomienie `sigtool --html-normalise <file.html>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje:
|
||
|
||
nocomment.html - znormalizowany, lower-case, wyrzucone komentarze i white-spaces
|
||
notags.html - jak powyżej, ale tagi html są wyrzucone
|
||
javascript - każdy skrypt jaki był załączony w html'u, również znormalizowany
|
||
|
||
b) Pliki tekstowe
|
||
Tak jak powyżej, znormalizowane pliki ASCII. Uruchomienie `sigtool --ascii-normalise <file.txt>` pokaże nam jakby wyglądał znormalizowany. Ta komenda wyprodukuje plik ‘normalised_text’. Reguły dopasowania normalizacji ASCII powinny być typu siódmego.
|
||
|
||
|
||
c) Skompresowane pliki wykonywalne (UPX, FSG, Petite, ...)
|
||
ClamAV będzie próbował automatycznie wypakować plik. By zobaczyć wynik uruchom clamscan z opcjami --debug --leave-temps. Przykładowy wynik:
|
||
|
||
LibClamAV debug: UPX/FSG/MEW: empty section found - assuming compression
|
||
LibClamAV debug: FSG: found old EP @119e0
|
||
LibClamAV debug: FSG: Unpacked and rebuilt executable saved in
|
||
/tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c
|
||
|
||
W powyższym przykładie /tmp/clamav-f592b20f9329ac1c91f0e12137bcce6c jest wypakowanym plikiem wykonywalnym
|
||
|
||
3. Nazwy plików w archiwum: clamav-<hash> (jak w przykładzie z 2c) |