Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
ClamAV Signaturen schreiben
Signaturverzeichnis
Das Signaturverzeichnis befindet sich bei einem Arch Linux unter /var/lib/clamav.
Hash basierte Signaturen
Die einfachste Art eine Signatur für ClamAV zu erstellen ist es den Hashwert einer Datei zu verwenden. Diese erzeugt die wenigsten False/Positives, ist aber auch am striktesten. Mit anderen Worten, die kleinste Veränderung der Datei sorgt dafür, dass die Malware nicht mehr gefunden wird. ClamAV unterstützt 3 verschiedene Hash Algorithmen dafür: md5, sha1, sha256
Um die Hash Signatur für eine Datei zu erzeugen, kann man das sigtool Programm verwenden, das ClamAV mit beiliegt.
sigtool –md5 test.exe > test.hdb
Dies erzeugt eine hdb (Hash Data Base) File Signatur mit folgendem Inhalt:
48c4533230e1ae1c118c741c0db19dfb:17387:test.exe
Die einzelnen Felder werden mit einem : getrennt.
| Feld | Inhalt |
|---|---|
| 1 | Hashwert |
| 2 | Dateigröße in Bytes |
| 3 | Dateiname |
Der Dateiname kann nach Belieben geändert werden. Diese Informationen wird später bei Fund in der Ausgabe angegeben. Hier kann ein beliebiger Name verwendet werden.
Signatur Testen
Am schnellsten testet man die Signatur, indem die Option -d verwendet von clamscan
clamscan -d test.hdb test.exe
Wenn die Signatur funktioniert, kann diese in das Signaturverzeichnis kopiert werden.
Hash basierte Signaturen sollten nicht für Textdateien verwendet werden. ClamAV führt für Textdateien eine Normalisierung durch. Das bedeutet es werden vor den eigentlichen Scan überflüssige Leerzeichen/Steuerzeichen entfernt und alle ASCI Zeichen zu Kleinbuchstaben konvertiert. Dadurch ändert sich der Hashwert und Signatur funktioniert dadurch nicht mehr.
Wenn der Hashwert einer Textdatei trotzdem verwendet werden soll, so muss der Hashwert aus der normalisierten Datei dafür verwendet werden. Siehe hierzu die ClamAV Dokumentation
Restlicher Post, aus dem Suletuxe Forum einpflegen