ClamAV实战 linux病毒查杀软件

  1. 关于ClamAV
    ClamAV是一个C语言开发的开源病毒扫描工具用于检测木马/病毒/恶意软件等。可以在线更新病毒库,Linux系统的病毒较少,但是并不意味着病毒免疫,尤其是对于诸如邮件或者归档文件中夹杂的病毒往往更加难以防范,而ClamAV则能起到不少作用。

安装:
ClamAV实战 linux病毒查杀软件-1
ClamAV实战 linux病毒查杀软件-2

安装后查看版本信息
ClamAV实战 linux病毒查杀软件-3
使用-h查看帮助
ClamAV实战 linux病毒查杀软件-4
简单的扫描一个文件如图报错时
ClamAV实战 linux病毒查杀软件-5
是因为此时需要有可用的病毒库文件,同时用户和组的权限也需要设定
下图先查看组名,然后设置用户和组权限
ClamAV实战 linux病毒查杀软件-6
接下来需要更新病毒库文件,如下报错是因为clam守护进程的原因
ClamAV实战 linux病毒查杀软件-7
先终结再启动更新即可
ClamAV实战 linux病毒查杀软件-8
查看进程
ClamAV实战 linux病毒查杀软件-9

这样子更新可能比较慢,我们也可以使用下面的命令直接下载
ClamAV实战 linux病毒查杀软件-10ClamAV实战 linux病毒查杀软件-11

实验室环境没有联网,已经准备好着两个文件,放在指定路径下即可
ClamAV实战 linux病毒查杀软件-12

解压我们的样本
密码为infected
ClamAV实战 linux病毒查杀软件-13
使用clamav进行扫描
指定扫描的目录为样本所在的test文件夹,-r选项表示包含子目录,一般用于深度查杀,在下图的例子中加不加都可以
ClamAV实战 linux病毒查杀软件-14
从结果可以看出,扫描到样本为windows下的木马文件,而压缩包文件是安全的
还可以将扫描日志保存供之后的分析使用,加上log选项即可
ClamAV实战 linux病毒查杀软件-15
查看扫描日志

ClamAV实战 linux病毒查杀软件-16
还能加上remove选项,用于将扫描到的病毒文件自动移除
ClamAV实战 linux病毒查杀软件-17
回到test文件夹可以看到病毒文件已经被移除了

ClamAV实战 linux病毒查杀软件-18

也可以使用图形化界面
ClamAV实战 linux病毒查杀软件-19
安装完毕后输入clamtk即可启动
ClamAV实战 linux病毒查杀软件-20
Settings设置要扫描选项
ClamAV实战 linux病毒查杀软件-21
Whitelist白名单设置在扫描时忽略的文件夹
Network中可以设置代理
Schedule中可以设置定时任务,包括定时扫描,定时更新病毒库
ClamAV实战 linux病毒查杀软件-22
History可以查看查杀的记录
ClamAV实战 linux病毒查杀软件-23
Quarantine是隔离区,被查到可能是病毒的文件都会被隔离在这里,可以选择删除文件或者恢复
ClamAV实战 linux病毒查杀软件-24
第三行是更新选项,一般为了提升杀毒的效率建议经常更新
其实最有用的是第四行,就是分析功能
可以选择扫描一个文件
ClamAV实战 linux病毒查杀软件-25
选中点击ok即可
ClamAV实战 linux病毒查杀软件-26
提示没有风险
或者扫描一个目录,也是同样的方法
这样子的扫描不够精确,我们如果怀疑某个文件确实是恶意文件,那么可以使用analysis功能
选中一个文件
ClamAV实战 linux病毒查杀软件-27
点击open
然后点击放大镜
ClamAV实战 linux病毒查杀软件-28
很快就可以在results选项卡中看到结果
ClamAV实战 linux病毒查杀软件-29
左边是判定文件不安全的安全公司,中间是日期,右边是判定结果,从结果中可以看到一致判定为windows下的木马文件
这一功能非常强大,几乎汇聚了全球安全产商的力量,在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度、腾讯等引擎都在内
ClamAV实战 linux病毒查杀软件-30ClamAV实战 linux病毒查杀软件-31

之后可以将结果保存供后续分析

ClamAV实战 linux病毒查杀软件-32

  1. 官方文档
    https://www.clamav.net/documents/usage

标签

发表评论