ClamAV предоставляет какую-либо документацию относительно вредоносных подписей?
Я вижу, что ClamAV говорит мне имена всех вирусов, которые он обнаружил на моем компьютере, но это, кажется, дает мне очень мало документации относительно того, что те обнаружения на самом деле означают, и каковы вирусы на самом деле. Это даже не говорит мне структуру имени обнаружения, таким образом, я не могу даже судить для меня, что могла означать каждая часть. Это - единственная документация, которую я мог найти: https://github.com/vrtadmin/clamav-devel/raw/master/docs/signatures.pdf И это даже не дают мне определения обнаружения для половины из них. Есть ли еще документация, которая объясняет, что определения обнаружения вирусов означают, и как они структурированы с точками и всем? И если больше нет документации, в настоящее время затем там, кто-либо запланировал? Как люди пишут определения, если больше нет документации там? Должен быть всего лишь, это просто не общедоступно. Но это плохо потому что, почему беспокойство с заниманием время для создания необычного обнаружения называет, если никто кроме них не знает то, что они имеют в виду?
Более подробная документация значительно необходима, поскольку она может обнаружить вирус и дать название обнаружения, но Вы понятия не имеете что-либо о том обнаружении, и Вы не можете даже искать ее, чтобы знать, хотела ли она переформатировать Ваш жесткий диск или если она шпионила за Вашим каждым перемещением.
1 ответ
Используйте команду:
sigtool --find-sigs <virus name> | awk ‘{ print $2 }’ | sigtool --decode-sigs
Это найдет, что подпись вытягивает часть подписи от вывода и поворота это в “plain language”. Исключением являются хеши, которые просто указывают, что целое известно плохо.
Затем можно искать тот простой язык в рассматриваемых файлах и определить если it’s точный или положительная ложь.
<час>Обновление: использование sigtool этим способом (-находят-sigs и - декодирует-sigs), не охвачены явно в документации создания подписи (signatures.pdf). Документация касается всего остального, должен был создать Ваши собственные подписи, включая принятые соглашения о присвоении имен и описание того, что они подразумевают (разделите 3.10 имени Подписи... ClamAV использует следующие префиксы для имен подписи...)
Кроме того, это - осуществление для конечного пользователя, чтобы определить, является ли что-то обнаруженное на самом деле злонамеренным или если это - положительная ложь, и способ сделать, который должен понять то, что ищет подпись и где это находится в затронутом файле. Как я упомянул, единственной вещью, которая не работает с, являются хеши. Лучшее, которое можно сделать для тех, ищут хеш в различных сканерах онлайн и получают смысл для того, что другие механизмы обнаруживают их как и ищут вирусные имена также.
, Если эти две вещи (существующая документация и использование sigtool), не отвечайте на вопрос затем, вопрос должен быть перефразирован так, это более ясно относительно намерения вопроса. То, 'почему' кто-то думал, что что-то злонамеренно, должно быть ясно из декодируемой вирусной подписи. Если это не, или если Вы не соглашаетесь с обнаружением, об этом нужно сообщить как ложь, положительная, таким образом, подпись может быть улучшена / разъясненный / и т.д.
Рассмотрение Победы. Использование. Unicode_Mixed-1 как пример, я сказал бы, что это не большой сигнал по точно этой причине (это не сразу понятно что относительно той последовательности, является злонамеренным).
Это неясно (мне) что относительно той последовательности, является злонамеренным, хотя это - вероятно, что-то, что характерно для смешанной unicode эксплуатации сценария (но снова, это - предположение). С имени вируса ожидание состояло бы в том, что Вы найдете его в системах Windows или в чем-то, к чему могут получить доступ системы Windows, и там вероятно использование, связанное со смешиванием unicode символы и non-unicode символы, который соответствует той подписи. С той информацией можно просто сделать быстрый поиск Google "Windows смешанное использование unicode", которое поднимет 133,000 + результаты сайтов, говорящих о создании использования для использования в своих интересах проблем обработки Unicode в Windows.
, Если Вы видите, что в tcpdump производил на Вашем IDS, затем это вероятно случай любой из Ваших систем, вытягивающих те данные из использованной удаленной системы (как веб-сервер).
OP спрашивал, существуют ли "планы отрегулировать имена подписи так, чтобы они были более регулярными, и люди на самом деле знают то, что они имеют в виду"..., и это НАХОДИТСЯ в документации записи подписи. Или по крайней мере, инструкции представлены там, за которым люди ClamAV пытаются следовать и рекомендовать другим. Если Вы вытягиваете из других независимых источников, у них, вероятно, есть свои собственные соглашения о присвоении имен.
OP корректен, что список имен в документации является горестно неполным даже для подписей, которые пишет ClamAV. Но наблюдение как ClamAV является открытым исходным кодом, и в значительной степени любой может записать подписи для него без одобрения от авторов ClamAV, существует нулевой шанс "регулирования" имен подписи.
лучшее, которое можно сделать, ломают имя, смотрят на определение подписи и Google. И sigtool, по крайней мере, скажет Вам, что ClamAV рассматривает как злонамеренное, даже если он не говорит Вам, почему автор подписи думал, что это было злонамеренно для начала.