ClamAV实战
- 关于ClamAV
ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库,Linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。
安装:
安装后查看版本信息
使用-h查看帮助
简单的扫描一个文件如图报错时
是因为此时需要有可用的病毒库文件,同时用户和组的权限也需要设定
下图先查看组名,然后设置用户和组权限
接下来需要更新病毒库文件,如下报错是因为clam守护进程的原因
先终结再启动更新即可
查看进程
这样子更新可能比较慢,我们也可以使用下面的命令直接下载
实验室环境没有联网,已经准备好着两个文件,放在指定路径下即可
解压我们的样本
密码为infected
使用clamav进行扫描
指定扫描的目录为样本所在的test文件夹,-r选项表示包含子目录,一般用于深度查杀,在下图的例子中加不加都可以
从结果可以看出,扫描到样本为windows下的木马文件,而压缩包文件是安全的
还可以将扫描日志保存供之后的分析使用,加上log选项即可
查看扫描日志
还能加上remove选项,用于将扫描到的病毒文件自动移除
回到test文件夹可以看到病毒文件已经被移除了
也可以使用图形化界面
安装完毕后输入clamtk即可启动
Settings设置要扫描选项
Whitelist白名单设置在扫描时忽略的文件夹
Network中可以设置代理
Schedule中可以设置定时任务,包括定时扫描,定时更新病毒库
History可以查看查杀的记录
Quarantine是隔离区,被查到可能是病毒的文件都会被隔离在这里,可以选择删除文件或者恢复
第三行是更新选项,一般为了提升杀毒的效率建议经常更新
其实最有用的是第四行,就是分析功能
可以选择扫描一个文件
选中点击ok即可
提示没有风险
或者扫描一个目录,也是同样的方法
这样子的扫描不够精确,我们如果怀疑某个文件确实是恶意文件,那么可以使用analysis功能
选中一个文件
点击open
然后点击放大镜
很快就可以在results选项卡中看到结果
左边是判定文件不安全的安全公司,中间是日期,右边是判定结果,从结果中可以看到一致判定为windows下的木马文件
这一功能非常强大,几乎汇聚了全球安全产商的力量,在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度、腾讯等引擎都在内
之后可以将结果保存供后续分析