Loading... # 下载 网站:https://www.clamav.net/download.html 选择版本安装 ![选择适合自己的版本](http://www.irohane.top/usr/uploads/2020/12/3714275367.png) 下载病毒库 - http://database.clamav.net/main.cvd - http://database.clamav.net/daily.cvd - http://database.clamav.net/bytecode.cvd # 配置环境 - 解压后设置环境变量 - 将解压路径加入到PATH中 - 将下载的数据main.cvd ,daily.cvd,bytecode.cvd放到database中 - 将conf_examples文件中的配置文件拷贝到clamav主目录下,去到后缀 - 在将这两个文件clamd.conf ,freshclam.conf中第8行 examples删除 # 操作 1. clamsacn 1. clamscan 扫描当前目录下的文件 2. clamscan -r -i C:\vir 递归扫描指定目录下文件 3. clamscan -d test.hdb c:\vir 使用指定数据库扫描文件 2. sigtool 1. sigtool –i main.cvd 查看签名信息 2. sigtool -u main.cvd 解压签名文件 3. sigtool --md5 1.exe > 1.hdb 制作md5签名 3. 更新数据库 1. freshclam # Yara 用于帮助恶意软件研究软件,识别和分配的工具。提供一种规则的方法创建基于文本或者二进制特征,的描述。 下载: https://github.com/VirusTotal/yara/releases 在线文档: https://yara.readthedocs.io/en/v3.7.0/gettingstarted.html ## 编写Yara 规则 - - 简单字符规则 ```yara rule vir { strings: $my_text = "kerne132.dll" condition: $my_text } ``` - 二进制规则 ```yara rule code { strings: $my_code = {50 45 00 00} condition: $my_code } ``` - 条件 and or not ```yara rule code { strings: $my_code = {50 45 00 00} $my_text = "kerne132.dll" condition: $my_text and $my_code } ``` - 指定偏移 识别PE文件 ```yara rule IsPE { condition: // MZ signature at offset 0 and ... uint16(0) == 0x5A4D and // ... PE signature at offset stored in MZ header at 0x3C uint32(uint32(0x3C)) == 0x00004550 } ``` - 使用规则扫描 ```cmd yara my.yar -r C:\vir ``` 最后修改:2020 年 12 月 29 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏