Clamav и проверка архивов 7-Zip.

Вот те раз, а мне говорили, что 7-zip манипулирует архивами типа zip, просто сжатие у него есть своё - LZMA.

а архивы созданные с помощью 7-Zip, только им и можно распаковать?

>а архивы созданные с помощью 7-Zip, только им и можно распаковать?

он может создавать архивы в формате zip, tar.bz2, tar.gz и своём 7z, распаковать можно чем угодно, поддерживающим соответствующий формат.

Огромное спасибо :)

А если оно GPL, может все это ClamAV-шникам послать ?

GNU антивирус сканирует только GNU архивы на предмет наличия GNU вирусов... %)

Не, до рара ему далеко. Он и bz2 не всегда обходит по степенни сжатия.

Бинарники 7zip жмет просто супер.. Рар не дотягивает

>Не, до рара ему далеко. Он и bz2 не всегда обходит по степенни сжатия.

Я валялся )))) Жмет в 95 процентах случаев на 10-20 процентов лучше рара. А иногда (например брал у нас на работе Графики ПДО - обычные экселевские таблички) жмет в несколько раз лучше. Хотя РЕДКО бывают исключения - например иногда некоторые файлы (для примера база данных i-tunes) bz2 жмет лучше чем и рар и 7зип.

>иногда некоторые файлы (для примера база данных i-tunes) bz2 жмет лучше чем и рар и 7зип.

для 7zip можно попробовать в этом случае явно указать метот сжатия PPMd - в этом случае он тексты лучше, чем bzip2 жмёт.

2McMCC

Спасибо, то, что требовалось

> а архивы созданные с помощью 7-Zip, только им и можно распаковать?

rar, winzip их спокойно распаковывают

Чего-то под ФЦ3 с поддержкой clamav-milter не собирается :(

жмёт лучше рара и (г)зипа жалко только что как pipe не работает :( может кто знает как это победить?

>а архивы созданные с помощью 7-Zip, только им и можно распаковать?

Если мне память не изменяет, то такая возможность есть в WinRAR'е,
возможно еще в каких-нибудь утилитках, например, в тотал командере есть плагин...

я заметил закономерность, что если создатель архиватора русский, то его сайт\программа будет на всех языках мира кроме русского.

>Вот те раз, а мне говорили, что 7-zip манипулирует архивами типа zip, просто
>сжатие у него есть своё - LZMA.

Там не только LZMA, есть еще LZ и PPMD, которые присутствуют в выложенной
мной либе, и которая полноценно работает с форматом 7z, т.е поддерживает все его методы сжатия, только отключена возможность работы с за-пароленными
архивами, а так же с многотомными архивами, для clamav'а это не надо, он пропускает такие архивы как нормальные :)....

Кстати, я проверял запакованный вирус в 7z на сайтах KAV и DrWeb
через веб форму, оба поставили статус ОК:))), т.е. 7z они не понимают...

Стал собирать libun7zip-4.20-1.fc4.src.rpm
Столько warning-ов и т.п. вещей, аж удивляюсь, а оно может работать? Вдруг оно собирается, а не работает? Я про исходники 7zip.

P.S. А зачем в src.rpm указано, что оно относится к fc4?

>Столько warning-ов и т.п. вещей, аж удивляюсь, а оно может работать? Вдруг >оно собирается, а не работает? Я про исходники 7zip.

Ну пока я бы не рекомендовал ставить эту связку на боевую рабочую систему,
надо потестировать ее тщательно, тем более, что вышла уже новая
портированная версия 7zip 4.27, в ней много чего пофиксили и добавили...

Есть изменения, сделал либу из свежей версии p7zip-4.27 и убрал последствия
отладки в патче для clamav'а, пересобрал все пакеты и заменил патчи на
http://mcmcc.bat.ru/clamav, так же подправил инструкцию для сборки....

P.S. Если кто ставился с rpm, то необходимо обновить libun7zip и сам clamav,
в принципе, утечек памяти пока не обнаружил, если так дальше пойдет, то
можно будет ставить на продакшн:)....

А какой смысл в прикручивании rar и 7-zip ? , все равно почтовые черви эти форматы не используют ?

А если тебе кто-то выслал архив с инфицированным файлом?

>А какой смысл в прикручивании rar и 7-zip ? , все равно почтовые черви эти
>форматы не используют ?

А потому что пользователи имеют такую привычку, запаковывать свои файлы в эти архивы и пересылать друг другу по почте:). Как говорится, нужно быть
ко всему готовым, лучше заранее предусмотреть, что бы потом спокойней было.

Кстати, у кого проблема со сборкой милтеровского плагина, используйте этот
патчик:
--- clamav-milter.c.orig  Fri Sep 23 11:08:21 2005
+++ clamav-milter.c       Fri Sep 23 11:08:21 2005
@@ -3439,9 +3439,9 @@
  {
         fd_set rfds;
         struct timeval tv;
+       int ret;

         assert(sock >= 0);
-       int ret;

         if(readTimeout == 0) {
                 do

McMCC, огромное спасибо!

В официальный релиз clamav'а это войдёт когда-нить?

Первое - огромное человеческое спасибо McMMC за проделанную работу!

Второе - на моей практике была одна гадость, которая в раре распространялась (сугубо под xUSSR заточена, сопроводительный текст на русском). Вполне вероятно, что и 7zip начнут паковать (раз рар уже поддерживает распаковку этого формата).

Никогда не понимал - нафига вообще проверять архивы?
Сам по себе вирус оттуда все-равно не выберется, его надо специально распаковать, а потом еще и запустить. А поскольку почта далеко не единственный источник исполняемых файлов на компьютере юзверя, то это уже дело антивируса на клиенте.

>Никогда не понимал - нафига вообще проверять архивы?
>Сам по себе вирус оттуда все-равно не выберется, его надо специально
>распаковать, а потом еще и запустить. А поскольку почта далеко не
>единственный источник исполняемых файлов на компьютере юзверя, то это
>уже дело антивируса на клиенте.

До определенного момента, я тоже так считал, пока не нашлись те, кто
открывал эти архивы и запускал его внутренности, да так, что антивирусы
установленные у них, нервно курили в сторонке. Так что в жизни все
не так, защиты от дураков еще мало где имеется, не все пользователи
понимают, что пришедший файл хрен знает откуда, надо не открывать
сразу и не тыкать в его содержимое, а спросить админов, что и как с
ним нужно сделать, но ведь все себя шибко умными считают....

Работает он через pipe, только тормоз он жуткий и до памяти охочь!

>но ведь все себя шибко умными считают....

Это ещё пол-беды, когда они вообще хоть что-то считают. А часто бывает - вообще никак ничего не считают. Просто тычут что ни попадя, как обезьяны, совершенно бездумно. Особенно начальство, которому на рефлексы не особо подавишь :(

Немного не в тему. А ты поддержку rar на новую библиотеку не переделывал ? У Рошаля уже unrarsrc-3.5.3.tar.gz лежит...

>Немного не в тему. А ты поддержку rar на новую библиотеку не переделывал ? У
>Рошаля уже unrarsrc-3.5.3.tar.gz лежит...

А как же:)... ее и использую, даже собранные пакеты выложил...

>Это ещё пол-беды, когда они вообще хоть что-то считают. А часто бывает - >вообще никак ничего не считают. Просто тычут что ни попадя, как обезьяны,
>совершенно бездумно. Особенно начальство, которому на рефлексы не особо
>подавишь :(

У нас в компании даже штрафы денежные ввели, но все бестолку, доходило
до того, что кто их учредил, сам являлся виновником "торжества". Вообщем,
как бы тут не спорили, но архивы тоже надо проверять, я долго думал, нужна
ли поддержка архива 7zip(7z), и тут выяснил, что уже человек 30 им активно пользуются и другим советуют, вот я и решил, что настало время:)....

Насчет pipe. И как через 7z зажать stdin в stdout? Только -si -so не предлагать! Эти параметры вместе не живут.

> да так, что антивирусы установленные у них, нервно курили в сторонке

фигасе!
расскажи подробнее - очень охота знать что же это за экзотика, которую кламав съел, а антивирусный монитор подавился? и что за хреновина мониторила клиентские тачки?

>фигасе!
>расскажи подробнее - очень охота знать что же это за экзотика, которую
>кламав съел, а антивирусный монитор подавился? и что за хреновина
>мониторила клиентские тачки?

Причем тут clamav? А на счет мониторов, ты это 1Сникам расскажи, как
круто работать в 1С + монитор кашперского, например... Юзеры, еще
имеют такую привычку, как отключать всякие мониторы и обновлялки
баз... Предвижу твой следущий вопрос, скажу сразу, когда у тебя
юзеров не более 100, то мониторить приходящую почту с помощью
локальных антивирусов решение с кастылем, а когда более, то гнать
тебя надо с работы....

>> Немного не в тему. А ты поддержку rar на новую библиотеку не переделывал ? У
>> Рошаля уже unrarsrc-3.5.3.tar.gz лежит...

> А как же:)... ее и использую, даже собранные пакеты выложил...

Тут http://mcmcc.bat.ru/clam_rar3.html только про 3.4.3...