ClamAV实战

  1. 关于ClamAV
    ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库,Linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。

安装:
ClamAV实战_第1张图片
ClamAV实战_第2张图片

安装后查看版本信息
在这里插入图片描述
使用-h查看帮助
ClamAV实战_第3张图片
简单的扫描一个文件如图报错时
在这里插入图片描述
是因为此时需要有可用的病毒库文件,同时用户和组的权限也需要设定
下图先查看组名,然后设置用户和组权限
在这里插入图片描述
接下来需要更新病毒库文件,如下报错是因为clam守护进程的原因
在这里插入图片描述
先终结再启动更新即可
ClamAV实战_第4张图片
查看进程
在这里插入图片描述

这样子更新可能比较慢,我们也可以使用下面的命令直接下载
在这里插入图片描述在这里插入图片描述

实验室环境没有联网,已经准备好着两个文件,放在指定路径下即可
在这里插入图片描述

解压我们的样本
密码为infected
ClamAV实战_第5张图片
使用clamav进行扫描
指定扫描的目录为样本所在的test文件夹,-r选项表示包含子目录,一般用于深度查杀,在下图的例子中加不加都可以
ClamAV实战_第6张图片
从结果可以看出,扫描到样本为windows下的木马文件,而压缩包文件是安全的
还可以将扫描日志保存供之后的分析使用,加上log选项即可
ClamAV实战_第7张图片
查看扫描日志

ClamAV实战_第8张图片
还能加上remove选项,用于将扫描到的病毒文件自动移除
ClamAV实战_第9张图片
回到test文件夹可以看到病毒文件已经被移除了

ClamAV实战_第10张图片

也可以使用图形化界面
ClamAV实战_第11张图片
安装完毕后输入clamtk即可启动
ClamAV实战_第12张图片
Settings设置要扫描选项
ClamAV实战_第13张图片
Whitelist白名单设置在扫描时忽略的文件夹
Network中可以设置代理
Schedule中可以设置定时任务,包括定时扫描,定时更新病毒库
ClamAV实战_第14张图片
History可以查看查杀的记录
在这里插入图片描述
Quarantine是隔离区,被查到可能是病毒的文件都会被隔离在这里,可以选择删除文件或者恢复
ClamAV实战_第15张图片
第三行是更新选项,一般为了提升杀毒的效率建议经常更新
其实最有用的是第四行,就是分析功能
可以选择扫描一个文件
ClamAV实战_第16张图片
选中点击ok即可
ClamAV实战_第17张图片
提示没有风险
或者扫描一个目录,也是同样的方法
这样子的扫描不够精确,我们如果怀疑某个文件确实是恶意文件,那么可以使用analysis功能
选中一个文件
ClamAV实战_第18张图片
点击open
然后点击放大镜
ClamAV实战_第19张图片
很快就可以在results选项卡中看到结果
ClamAV实战_第20张图片
左边是判定文件不安全的安全公司,中间是日期,右边是判定结果,从结果中可以看到一致判定为windows下的木马文件
这一功能非常强大,几乎汇聚了全球安全产商的力量,在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度、腾讯等引擎都在内
ClamAV实战_第21张图片ClamAV实战_第22张图片

之后可以将结果保存供后续分析

ClamAV实战_第23张图片

  1. 官方文档
    https://www.clamav.net/documents/usage

你可能感兴趣的:(ClamAV实战)