必威体育Betway必威体育官网
当前位置:首页 > IT技术

ClamAV实战

时间:2019-10-18 05:15:31来源:IT技术作者:seo实验室小编阅读:50次「手机版」
 

clamav

  1. 关于ClamAV

    ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库,linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。

安装:

在这里插入图片描述

在这里插入图片描述

安装后查看版本信息

在这里插入图片描述

使用-h查看帮助

在这里插入图片描述

简单的扫描一个文件如图报错时

在这里插入图片描述

是因为此时需要有可用的病毒库文件,同时用户和组的权限也需要设定

下图先查看组名,然后设置用户和组权限

在这里插入图片描述

接下来需要更新病毒库文件,如下报错是因为clam守护进程的原因

在这里插入图片描述

先终结再启动更新即可

在这里插入图片描述

查看进程

在这里插入图片描述

这样子更新可能比较慢,我们也可以使用下面的命令直接下载

在这里插入图片描述在这里插入图片描述

实验室环境没有联网,已经准备好着两个文件,放在指定路径下即可

在这里插入图片描述

解压我们的样本

密码为infected

在这里插入图片描述

使用clamav进行扫描

指定扫描的目录为样本所在的test文件夹,-r选项表示包含子目录,一般用于深度查杀,在下图的例子中加不加都可以

在这里插入图片描述

从结果可以看出,扫描到样本为windows下的木马文件,而压缩包文件是安全的

还可以将扫描日志保存供之后的分析使用,加上log选项即可

在这里插入图片描述

查看扫描日志

在这里插入图片描述

还能加上remove选项,用于将扫描到的病毒文件自动移除

在这里插入图片描述

回到test文件夹可以看到病毒文件已经被移除了

在这里插入图片描述

也可以使用图形化界面

在这里插入图片描述

安装完毕后输入clamtk即可启动

在这里插入图片描述

settings设置要扫描选项

在这里插入图片描述

Whitelist白名单设置在扫描时忽略的文件夹

Network中可以设置代理

Schedule中可以设置定时任务,包括定时扫描,定时更新病毒库

在这里插入图片描述

History可以查看查杀的记录

在这里插入图片描述

Quarantine是隔离区,被查到可能是病毒的文件都会被隔离在这里,可以选择删除文件或者恢复

在这里插入图片描述

第三行是更新选项,一般为了提升杀毒的效率建议经常更新

其实最有用的是第四行,就是分析功能

可以选择扫描一个文件

在这里插入图片描述

选中点击ok即可

在这里插入图片描述

提示没有风险

或者扫描一个目录,也是同样的方法

这样子的扫描不够精确,我们如果怀疑某个文件确实是恶意文件,那么可以使用analysis功能

选中一个文件

在这里插入图片描述

点击open

然后点击放大镜

在这里插入图片描述

很快就可以在results选项卡中看到结果

在这里插入图片描述

左边是判定文件不安全的安全公司,中间是日期,右边是判定结果,从结果中可以看到一致判定为windows下的木马文件

这一功能非常强大,几乎汇聚了全球安全产商的力量,在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度腾讯等引擎都在内

在这里插入图片描述在这里插入图片描述

之后可以将结果保存供后续分析

在这里插入图片描述

  1. 官方文档

    https://www.clamav.net/documents/usage

相关阅读

分享到:

栏目导航

推荐阅读

热门阅读