恶意文件检测

在web应用的文件上传功能上，我们除了要检测文件后缀，文件类型，文件大小等外。还要对文件本身检测，是木马吗，是恶意软件吗 balabala...

检测的包括hash签名比对。

有一些工具例如

ClamAV  

ClamAVNet

ClamAV - Open-Source Antivirus Software Toolkit for UNIX || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

Cynet 

在线的检测平台 VirusTotal

上传文件后，很快出结果，可以看到是基于多个分析引擎的结果

 

关于ClamAV

开源和跨平台:ClamAV是一个鼓励社区参与开发的开源项目。它也是跨平台的，支持Linux, Windows和macOS，使其成为各种环境的通用防病毒解决方案。

全面的特征库:ClamAV拥有定期更新的特征库，包括各种恶意软件的定义，确保您的系统能够很好地检测和减轻威胁。

命令行界面(CLI): ClamAV具有强大的CLI功能，使用户能够运行按需扫描，调度自动扫描，并轻松灵活地管理防病毒解决方案。

高性能:ClamAV专为效率而设计，在保持低内存占用的同时提供快速可靠的扫描功能。

实时扫描:ClamAV提供实时扫描，在访问文件时自动检查威胁，确保实时防范恶意软件。

可定制和可扩展:ClamAV的开源特性允许用户定制和扩展其功能以满足他们的需求，使其成为一个高度适应性的解决方案。

与邮件服务器集成:ClamAV可以与邮件服务器集成以扫描电子邮件附件，为防范电子邮件传播的威胁提供额外的保护层。

安装

sudo apt install clamav clamav-daemon

扫描

clamscan /path/to/file