Suletuxe Linux Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
malwareschutz:clamav:clamav_signaturen_schreiben

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

malwareschutz:clamav:clamav_signaturen_schreiben [2024/05/11 19:45] – angelegt gahsulmalwareschutz:clamav:clamav_signaturen_schreiben [2024/05/12 10:20] (aktuell) – Verschoben nach tools:malwareschutz:clamav:clamav_signaturen_schreiben gahsul
Zeile 1: Zeile 1:
-====== ClamAV Signaturen schreiben ====== 
- 
-===== Signaturverzeichnis ===== 
- 
-Das Signaturverzeichnis befindet sich bei einem Arch Linux unter **''/var/lib/clamav''**. 
- 
-===== Hash basierte Signaturen ===== 
- 
-Die **einfachste** Art eine **Signatur für ClamAV** zu erstellen ist es den Hashwert einer Datei zu verwenden. Diese erzeugt die wenigsten False/Positives, ist aber auch am striktesten. Mit anderen Worten, die kleinste Veränderung der Datei sorgt dafür, dass die Malware nicht mehr gefunden wird. ClamAV unterstützt 3 verschiedene Hash Algorithmen dafür: **md5, sha1, sha256** 
- 
-Um die Hash Signatur für eine Datei zu erzeugen, kann man das **''sigtool''** Programm verwenden, das ClamAV mit beiliegt. 
- 
-''sigtool --md5 test.exe > test.hdb'' 
- 
-Dies erzeugt eine **hdb** (Hash Data Base) File Signatur mit folgendem Inhalt: 
- 
-<file test.hdb> 
-48c4533230e1ae1c118c741c0db19dfb:17387:test.exe 
-</file> 
- 
-Die einzelnen Felder werden mit einem **:** getrennt. 
- 
-^Feld^Inhalt^ 
-|1|Hashwert| 
-|2|Dateigröße in Bytes| 
-|3|Dateiname| 
- 
-Der Dateiname kann nach Belieben geändert werden. Diese Informationen wird später bei Fund in der Ausgabe angegeben. Hier kann ein beliebiger Name verwendet werden. 
- 
-==== Signatur Testen ==== 
- 
-Am schnellsten testet man die Signatur, indem die Option **''-d''** verwendet von **''clamscan''** 
- 
-''clamscan -d test.hdb test.exe'' 
- 
-Wenn die Signatur funktioniert, kann diese in das Signaturverzeichnis kopiert werden. 
- 
-<WRAP important> 
-Hash basierte Signaturen sollten nicht für Textdateien verwendet werden. ClamAV führt für Textdateien eine Normalisierung durch. 
-Das bedeutet es werden vor den eigentlichen Scan überflüssige Leerzeichen/Steuerzeichen entfernt und alle ASCI Zeichen zu Kleinbuchstaben konvertiert. 
-Dadurch ändert sich der Hashwert und Signatur funktioniert dadurch nicht mehr. 
- 
-Wenn der Hashwert einer Textdatei trotzdem verwendet werden soll, so muss der Hashwert aus der normalisierten Datei dafür verwendet werden. Siehe hierzu die [[https://docs.clamav.net/|ClamAV Dokumentation]] 
-</WRAP> 
- 
-<WRAP todo> 
-Restlicher Post, aus dem Suletuxe Forum einpflegen 
-</WRAP> 
  
malwareschutz/clamav/clamav_signaturen_schreiben.1715456746.txt.gz · Zuletzt geändert: 2024/05/11 19:45 von gahsul