我看到 ClamAV 有病毒定义文件,这些文件主要是 md5、sha1 和 sha256 格式的哈希码,它们要么查看整个文件,要么查看可执行文件的所谓 PE 部分。当然,除了寻找其他事物之外,还有一些变化。但是,散列值占病毒定义的大部分兆字节。
那么 ClamAV 是如何得到这些的呢?网络上是否有免费资源可供我们从中提取这些资源以构建我们自己的防病毒软件?(你看,我是一名 C++ 开发人员。)
编辑:澄清更多——ClamAV 肯定没有实验室,他们可以在那里找到恶意软件并对这些散列病毒签名进行分类,是吗?他们肯定会使用一些已经在这样做的国家或国际组织或公司吗?
ClamAV 属于 Cisco 及其 Talos Group。思科于 2013 年底收购了 Snort 和 ClamAV 的制造商 Sourcefire。
http://www.cisco.com/web/about/ac49/ac0/ac1/ac259/sourcefire.html
http://www.talosintel.com/about/
http://www.cisco.com/c/en/us/products/security/talos.html
© 2004 - 2015 思科和/或其附属公司。版权所有。
Sourcefire 也属于 Cisco:http : //blog.clamav.net/2013/10/cisco-community-and-open-source.html
签名在 ClamAV 的服务器上
http://www.clamwin.com/content/view/58/27/
我可以从哪里手动下载病毒定义文件?
您可以通过 http:// 在没有 clamwin 的情况下获取病毒定义
http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd然后将下载的 main.cvd 和 daily.cvd 复制到您在 ClamWin 首选项、文件位置选项卡中指定的数据库位置。
默认数据库位置是:“C:Documents and SettingsAll Users.clamwindb”
许多大贡献者是防病毒供应商和安全公司:http : //www.clamav.net/about#credits
贡献者
ClamAV 团队
Joel Esler
Douglas Goddard
Nigel Houghton
Tom Judge
Kevin Lin
Steve Morgan
Matt Olney
Dave Raynor
Samir Sapra
Ryan Steinmetz
Dave Suffling
Matt Watchinkski
Alain ZidouembaClamAV 质量保证
Erin Germ
Dragos Malene
Vijay Mistry
Matt Donnan塔洛斯集团
Andrea Allievi
乔纳森·阿内森
Ben Baker
Nathan Benson
Andrew Blunk
Kevin Brooks
Jaime Filson
Paul Frank
Erick Galinkin
Douglas Goddard
Richard Harman, Jr.
Nicholas Herbert
Shaun Hurley
Richard Johnson
Alex Kambis
Brittany Lawler
Justin Lindsey
Chris Marczewski
Christopher Marshall
Nick Mavis
Christopher McBee
David McDaniel
Alex McDonnell
Kevin Miklavcic
Patrick Mullen
Marcin Noga
Katie Nolan
Carlos Pacho
Ryan Pentney
尼克·兰道夫·
马科斯·罗德里格斯
杰夫·塞拉奥·
布兰登·斯图尔茨尼克
·苏安·
伊曼纽尔·塔乔
梅丽莎·
泰勒安迪
·沃克
艾丽西亚·威利特伊夫·
尤南贡献者
Aeriana, Andreas Cadhalpun, Mike Cathey, Michael Cichosz, Diego d'Ambra, Arnaud Jacques, Tomasz Papszun, Bill Parker, Robert Scroggins, Sven Strickroth, Trog, Steve Basford, Dennis de Messemacker, Jason Englander, Thomas Lamy, Thomas Masden, Boguslaw白兰地,安东尼·哈维,安德烈亚斯·浮士德,塞巴斯蒂安·安杰伊·西维尔
ClamAV 退休
Luca Gibelli、Török Edvin、Tomasz Kojm、Alberto Wu、Nigel Horne
每个更新都包含有关发件人的信息,其中一些提到 Virus Total、VRT Sandbox 等。
通常,防病毒供应商、安全研究人员和贡献者协作并共享样本。
http://lists.clamav.net/pipermail/clamav-virusdb/
http://lists.clamav.net/pipermail/clamav-virusdb/2015-December/002519.html
任何人都可以贡献,并且还有一个社区贡献签名的邮件列表。
http://blog.clamav.net/2014/02/introducing-clamav-community-signatures.html
http://lists.clamav.net/cgi-bin/mailman/listinfo/community-sigs
用户向 Clam AV 提交受感染文件的样本,这些文件由从事 Clam AV 项目的 Cisco/Sourcefire 人员处理。Virus Total 和其他 AV 行业来源也与 Clam AV 项目共享受感染的文件。最后,Cisco/sourcefile 人员与 Clam AV 分享他们最终学到的东西。
对于我组织中的签名,它们是使用在我们的普通电子邮件服务器上收到的样本以及从提交的样本生成的。然后生成签名和哈希签名。