Как добавить сигнатуры в ClamAV для сканирования виндовых файлов?

Попробуй .cld файлы положить в /var/lib/clamav. Насколько я понял, ClamAV грузит все .cld из той директории.

.cld файлов там нет. Попробовал положить базы Immunet'а - результат тот же.

Погоди. Этот Immunet — это надстройка над ClamAV? Он тот же движок использует?

Я пока не понял. В настройках нашёл включение использования ClamAV. Похоже, что движки разные. Закрываю тему.

В принципе, если как-то сигнатуры вытащить, можно их перепаковать их для ClamAV. Но скорее всего, это делать невыгодно, по затратам сил и времени.

Обновил пост.

Clamav сканер поддерживает кучу форматов баз. Есть поддержка yara, для которых есть автогенераторы правил на гитхабе.

Надо посмотреть лицензию баз иммунеле, если она свободна базы можно вытянуть и использовать в clamav.

Clamav-unofficial-sigs имеет две базы для которых надо подписку, ты на их свободные версии подписался?

В /etc/clamd.conf тоже надо поддержку сканирования виндовых бинарей включить.

Сами файлы как сканиш? Веб трафик тоже чем-то сканиш?

ScanPE по дефолту yes.

Сами файлы как сканиш?

clamscan

Веб трафик тоже чем-то сканиш?

Нет, это мне не нужно

clamd вообще сам файлы сканит on-access. И если что не так - сплёвывает в лог.

Ну а мне надо вручную сканить

Какие базы настроены для закачки clamav-unofficial-sigs ?

Дай вывод: 'ls -l /var/lib/clamav'

При настройки баз только «low» должно быть более 13 000 000 вирусов. У меня аж 43 файла.

Надо разрешать неофициальные базы: OfficialDatabaseOnly no

Не все базы поддерживают криптографическую верификацию, некоторые имеют подписи gpg, cvd имеет внутреннюю подпись. Подписи надо проверять возможна подмена баз.

Возможно вирусна dll подписана, тогда надо: DisableCertCheck yes

Дай вывод: 'ls -l /var/lib/clamav'

https://paste.ee/p/cLy4S#SwENbycy492cK2m4TRrmgTNdLgNK1CuU

OfficialDatabaseOnly no

Уже по дефолту

clamscan при запущенном clamd использовать нерсционально, базы жрут около 1.5Gb и грузится дольше чем clamscan сканирует.

Если запущен clamd то для экономии 1.5Gb оперативы и времени надо использовать clamdscan.

Если запущен clamd то для экономии 1.5Gb оперативы и времени надо использовать clamdscan.

Лол, не знал, спасибо большое.

Теперь надо решить проблему незапускающегося клама, который отваливается по таймауту.

У меня yara чуть другим скриптов обновляются, у тебя тоже нормально.

Нет гугловских для сайтов и французских:

crdfam.clamav.hdb

safebrowsing.cvd

Это не кретично

clamd с on-access сканированием мне не нравится, рута просит и хочет полный доступ к файловой системе...

clamd запускаю под не привелигированым юзером и в chroot изоляции. clamdscan, разные прокси антиворусники умеют с clamd по tcp сокету общатся.

Вот если бы skyldav еще научить использовать clamd по tcp...

Да базы долго грузит. Я не знаю какую систему инициализации используете.

У меня openrc и тайм-аут отключается в функции:

depend() {

use net

provide antivirus

keyword -timeout

}

Опция keyword -timeout

Уже по дефолту

И базы можно уже самому клепать. https://www.clamav.net/documents/creating-signatures-for-clamav
Накропать скриптик, который будет дергать sigtool --md5, sigtool --mdb и т.д., парсить выхлоп и дописывать в свои базы сигнатуры. А в конце вызывать clamdscan --reload

Есть причины недоверять clamd?

Как шептал на ухо шеф разведки Борман своему фюреру Гитлеру в 17 мгновениях весны - «в наше время верить никому нельзя».

Тем более что ClamAV теперь энтерпрайз от циски.

clamd может работать в полностью изолированном окружении и без привилегий root. Как антивирусный сервис обрабатывающий файлы по tcp. Или с чуть меньшей изоляцией через юникс сокет.

Это именно то что надо для реализации прокси антиворусников и сканирования файлов с помощью clamdscan.

Ещё бы skyldav к clamd прекрутить.

Также не советую под рутом пускать обновление антивирусных баз, freshclam, clamav-unofficial-sigs.sh,... все они должны запускатся под не привилегированным пользователем, цифровые подписи баз должны проверяется:

sigtool --info *

gpg --verify *.sig *

И потом ещё желательно на работоспособность с помощью:

clamscan --database=* test.file

Проверенные базы устанавливаются пользователем root. И с правами запрещающим их изменение пользователю clamav.

sigtool хорошая вещь для проверки и созбания cvd, cld баз, но городить вирусные подписи тупо по хешам файлов просто отстой.

Предлагаю использовать YARA синтаксис для описания вирусов. Он простой, четабельный, понятен и с помощью него можно рубать одним правилом целые классы и семейства вирусов. Есть автогенераторы и для yara. Плюс использование yara стало стандартом де-факто и поддерживается множеством антиворусников.

Как результат сканирование вирусных dll? ClamAV с дополнительными базами находит вири?

Если не находит, то причиной может быть цифровая подпись! Чтобы просмотреть цифровые подписи PE файла:

sigtool --print-certs=*

Если вирусный файл подписан, то по умолчанию ClamAV его вирем не щитает. ;) Чтобы это безобразие исправить надо в конфиге указать:

DisableCertCheck yes

Напомню что фирмы:

Realtek

Jmicron

ASUS

Своими цифровыми подписями подписывают вирусы!!!

А он вообще рабочий? Отлавливает хоть чтто-то?

Да

Своими цифровыми подписями подписывают вирусы!!!

Скорее всего ложное срабатывание.

Интересно. А то я неспешно ищу антивирус и посмотрел на днях в этой связи видос какого-то ламерка по фамилии Лещенко, он утверждает, что нет, не ловит ничего.

Я как-то ставил на оффтоп, давненько. Честно говоря не поммню его работу.
Надо бы повторить, на домашний файлопомоечный серверок, но пока лень возиться. Условно-бесплатную антивирусню ставить влом, из-за рекламы, которая отжирает много ресурсов. Платную каспероподобную тоже влом.

Я как-то ставил на оффтоп, давненько. Честно говоря не поммню его работу.

То же самое, что и под линем

Какое ложное срабатывание?!!

Это мем интернетов, как Realtek и Jmicron подписали вирус stuxnet, а Кошмаровский с ДокторомСети видя подпись «уважаемых» про*** страшный вирь. Введите в любом поисковике '+stuxnet +realtek +jmicron'. В общем это уже классика для учебников: https://en.m.wikipedia.org/wiki/Stuxnet

ASUS отличились недавно, их ключом подписывается вирусный BIOS для материнских плат ASUS, а когда их носом тыкали отмалчиваются. Оказывается что вирь планировали закинуть только избранным, но накосячили и прошили многим.

Спасибо, я не знал.

Mozila своим цифровым сертификатом подписывает вирусные дополнения для бровзера Firefox:

https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefo...

https://www.opennet.ru/opennews/art.shtml?num=50775

Мозиллой не пользуюсь, кстати.

Если не секрет какой бровзер используете, какие дополнительные настройки делаете?

http://www.opennet.ru/openforum/vsluhforumID3/117489.html#133

Seamonkey и lynx

Дополнения не ставлю, настраиваю брэндмауэр.

Кстати, давно ношусь с мыслью, что дополнения нужно писать самому. Нет никаких гарантий, что в сторонние дополнения не будет напихано чего ни попадя.

Пару лет назад начал писать ebuld-ы, для установки дополнений с их сорцов стандартным менеджером пакетов. Дополнения устанавливались под root в сам бровзер. Пользователи не обновлялись и не устанавливали обновления. Никто моё начинание не поддержал и я оверлейчик с дополнениями забросил.

Затея хорошая, но нереальная.

То-то под Seamonkey дополнений почти нет. Я даже мануалов в своё время найти не смог.

Затея хорошая, но нереальная

У меня реализовалась, скачивать исходный код, и создавал установочный пакет самого дополнения. Поддерживал до 10 популярных обновлений.

У меня

Имелось в виду, что массами не востребовано.

глянуть можно? // другой аноним

Пытался сделать 11 дополнений, 7 собирались. Забросил 02 2017.

Надо систему с поддержкой архиватора мозилы web-ext и сборку nodejs с поддержкой npm. Старый архиватор был jpm.

Далее качаешь архив исходников дополнения, и читаешь инструкцию по его сборке... Все с github.com с других мест не рабочие.

Все 11 дополнений поддерживал 1 ebuild-ом. Сейчас он далеко и достать мне трудновато.

Антивирусы ложно срабатывают нередко.