ClamAV实战

1. 关于ClamAV
   ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库，Linux系统的病毒较少，但是并不意味着病毒免疫，尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范，而ClamAV则能起到不少作用。

安装：

安装后查看版本信息

使用-h查看帮助

简单的扫描一个文件如图报错时

是因为此时需要有可用的病毒库文件，同时用户和组的权限也需要设定
下图先查看组名，然后设置用户和组权限

接下来需要更新病毒库文件，如下报错是因为clam守护进程的原因

先终结再启动更新即可

查看进程

这样子更新可能比较慢，我们也可以使用下面的命令直接下载

实验室环境没有联网，已经准备好着两个文件，放在指定路径下即可

解压我们的样本
密码为infected

使用clamav进行扫描
指定扫描的目录为样本所在的test文件夹，-r选项表示包含子目录，一般用于深度查杀，在下图的例子中加不加都可以

从结果可以看出，扫描到样本为windows下的木马文件，而压缩包文件是安全的
还可以将扫描日志保存供之后的分析使用，加上log选项即可

查看扫描日志

还能加上remove选项，用于将扫描到的病毒文件自动移除

回到test文件夹可以看到病毒文件已经被移除了

也可以使用图形化界面

安装完毕后输入clamtk即可启动

Settings设置要扫描选项

Whitelist白名单设置在扫描时忽略的文件夹
Network中可以设置代理
Schedule中可以设置定时任务，包括定时扫描，定时更新病毒库

History可以查看查杀的记录

Quarantine是隔离区，被查到可能是病毒的文件都会被隔离在这里，可以选择删除文件或者恢复

第三行是更新选项，一般为了提升杀毒的效率建议经常更新
其实最有用的是第四行，就是分析功能
可以选择扫描一个文件

选中点击ok即可

提示没有风险
或者扫描一个目录，也是同样的方法
这样子的扫描不够精确，我们如果怀疑某个文件确实是恶意文件，那么可以使用analysis功能
选中一个文件

点击open
然后点击放大镜

很快就可以在results选项卡中看到结果

左边是判定文件不安全的安全公司，中间是日期，右边是判定结果，从结果中可以看到一致判定为windows下的木马文件
这一功能非常强大，几乎汇聚了全球安全产商的力量，在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度、腾讯等引擎都在内

之后可以将结果保存供后续分析

1. 官方文档
   https://www.clamav.net/documents/usage