Компания Cisco выпустила (http://blog.clamav.net/2015/12/clamav-099-has-been-released....) свободный антивирусный пакет ClamAV 0.99 (http://www.clamav.net/), в котором представлено несколько существенных новшеств. В частности, переработан код сканирования файлов налету, добавлена поддержка правил блокировки YARA и совместимых с perl регулярных выражений.
Ключевые улучшения (https://github.com/vrtadmin/clamav-devel/blob/master/ChangeLog) ClamAV 0.99:- Возможность (http://blog.clamav.net/2015/06/clamav-099b-meets-yara.html) использования коллекции правил YARA (http://yararules.com/), предоставляющей сигнатуры для выявления различных категорий вредоносного ПО. Правила YARA сочетают строковые маски с логическими выражениями, описывающими условия применения масок. Для подключения правил, созданных сообществом YARA, достаточно скопировать их в штатную директорию с вирусными базами ClamAV. Из достоинств применения ClamAV вместе с YARA отмечается возможность задействования средств декомпозиции, т.е. автоматического сопоставления, независимо от применения сжатия данных и типа файлов (документы, архивы и т.п.);
- Расширение возможностей по составлению логических сигнатур, которые теперь могут включать многие средства, присутствующие в сигнатурах YARA. Например, можно использовать регулярные выражения PCRE (Perl Compatible Regular Expressions), задавать альтернативные строковые маски и применять атрибуты YARA;
- Новая реализация системы прозрачной проверки открываемых файлов (on-access scanning) для платформы Linux. Новая реализация основана на использовании механизма fanotify и позволяет организовать проверку не только в момент начала чтения данных из файла, но и при открытии файла. Из новшеств отмечается также возможность рекурсивного и динамического отслеживания директорий (автоматически добавляются новые директории) и поддержка блокирования доступа к файлу при обнаружении в нём вируса.
- Добавлен API для организации callback-вызовов в случае обнаружения вирусов, позволяющий в приложениях, работающих в режиме all-match, подключать собственные обработчики для формирования отчёта или записи в лог;
- Поддержка подключения базы типовых паролей, которые будут использованы для попытки раскрытия зашифрованных zip-файлов;
- Поддержка файлов в формате TIFF;
- Поддержка файлов Adobe Flash, сжатых с использованием LZMA;
- Поддержка документов Microsoft Office 2003 XML с вложениями MSO;
- Новый вид сигнатур для применения с файлами неизвестного типа;
- Улучшен эвристический алгоритм предотвращения потери данных;
- В утилиту sigtool добавлена опция "--ascii-normalize", позволяющая генерировать нормализованные версии ASCII-файлов;
- Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".
URL: http://blog.clamav.net/2015/12/clamav-099-has-been-released....
Новость: http://www.opennet.me/opennews/art.shtml?num=43432
Да неужели, а то я начал думать что после того как Cisco купила ClamAV забросила его разработку и все постепенно затормозилось...
>Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".
>в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64"Вообще-то 32-битный софт на Windows ставится в специально для него предназначенный каталог "C:\Program Files (x86)", а 64-битный софт ставится в каталог "C:\Program Files".
Имеется в виду установка на x86 и x86_64 системы. В 32-разрядной Винде будет каталог "/Program Files/ClamAV", а в 64-разрядной "/Program Files/ClamAV-x64" (в это случае "C:\Program Files (x86)" не будет содержать каталог с ClamAV).
Он имеет в виду, что в ОС Windows есть функция получения каталога установки ПО. А ClamAV переизобретает велосипед и нарушает правила разработки ПО для Windows.
Windows уже давно нарушила все возможные правила разработки ПО. Так что пофиг.
И чем же это, интересно, нарушает?
Программа ставится в папку для программ, определенную той самой функцией. По всем правилам.
То, что сама программа называется по-разному - так тут никаких правил и нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.
> И чем же это, интересно, нарушает?
> Программа ставится в папку для программ, определенную той самой функцией. По всем
> правилам.
> То, что сама программа называется по-разному - так тут никаких правил и
> нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.Ставится - то он ставится. Но служба, например, не регистрируется. И, тем более, не запускается. Так что это недоделок.
Отличный антивирус, всем любителям опенсорса рекомендую.
Такой же отличный продукт...
Почём Циська платит за пост прославляющий ХламAV?
> Почём Циська платит за пост прославляющий ХламAV?Не для себя, друг интересуется.
Да, прогнал я тут ClamAV по всему хомяку. В основном проблемы были около Wine и защиты(упаковки) проприетарного софта в Linux. Незначительно есть эксплойтов, заразы и сбора данных у старого содержимого кэша браузеров беток Chrome, Opera и на текущей бете яндекс-браузнра есть такая фигня. На давно удалённый из Firefox но оставшемся на диске AdBlockPlus выругалось за сбор данных(на uBlock Origin нигде не ругается). Всё что можно подчистил, но вообще ничего серьёзного не нашло.Отсюда сделал для себя выводы что обычно вирусы в Linux лезут через проприетарные бетки браузеров, устанощики для Windows и всевозможные носители типа облаков и флешек.
Лезут оттуда же откуда и в винде: через браузер и стремный софт.
Народу бы им побольше, сандбокс разгребать. Регулярно засылаю туда выловленное в почте, но процент добавленых-в-базу к отосланным пока не радует.
Как он для использование в связке с почтой?
> Как он для использование в связке с почтой?В связке, без вязки - тишь да гладь, ничего никогда не находит.
> ничего никогда не находит.У меня нашёл много всего при первом сканировании.
После этого уже больше месяца тихо
> У меня нашёл много всего при первом сканировании.
> После этого уже больше месяца тихоПроверь штатным виндовым антивирусом - найдёт ещё столько же. А Доктор Веб тебя тогда вообще завалит. Если даже Клямавь чего-то у тебя находит, значит ты рассадник ботнета в четвёртом поколении уже :)
я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или как там его и 127.0.0.1 localhost то бишь, ибо чето с# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
#LocalSocket /tmp/clamd.socketраскоментированным не работает. пишет что нигде не слушает и выходит.
получилось в общем так:
# TCP port address.
# Default: no
TCPSocket 3310# TCP address.
# By default we bind to INADDR_ANY, probably not wise.
# Enable the following to provide some degree of protection
# from the outside world. This option can be specified multiple
# times if you want to listen on multiple IPs. IPv6 is now supported.
# Default: no
TCPAddr 127.0.0.1затем он запускается, плавно заливает в память 310+Мбайт баз и сидит на данном интерфейсе вежливо попросив windows firewall открыть для него правило, это если listen all без 127.0.0.1
и что дальше с ним делать? везде документация по clamwin но это не то и там его можно было запускать как сервис clamd --install, НО! этот клам не вин, а официальная сборка и на ней оно так не работает, т.е. выходит локально на винде я его не запущу, т.к. нет никаких unix socket'ов, выходит только TCPSocket и желательно локальный.....
Вопрос, что дальше? он будет автоматически пахать и сканировать или надо еще какие то телодвижения и коннектится к этому сокету открытому 3310 на 127.0.0.1?? В общем как им пользоваться? Ставил из MSI архива под форточку. Под линукс я его юзал и оставил as is + freshclam + unofficial signatures.
Подскажите кто знает и имел опыт использования под windows.
конфиги использовал стандартные, только закоментил:
# Comment or remove the line below.
# Exampleну и раскоментил TCP сокет и адрес.
> я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил
> базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или
> как там его и 127.0.0.1 localhost то бишь, ибо чето с
> # Path to a local socket file the daemon will listen on.
> # Default: disabled (must be specified by a user)
> #LocalSocket /tmp/clamd.socket
> раскоментированным не работает. пишет что нигде не слушает и выходит.вот здесь следует указать
LocalSocket %TEMP%\clamd.socket
если не работает предварительно выполните команду
echo off > %TEMP%\clamd.socket
и проверьте наличие сокета командой
dir %TEMP%\clamd.socket
также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права на запись и чтение в этот сокет, щелкнув правой кнопкой мыши по файлу и выбрав пункт "Свойства"
спасибо!
>[оверквотинг удален]
>> раскоментированным не работает. пишет что нигде не слушает и выходит.
> вот здесь следует указать
> LocalSocket %TEMP%\clamd.socket
> если не работает предварительно выполните команду
> echo off > %TEMP%\clamd.socket
> и проверьте наличие сокета командой
> dir %TEMP%\clamd.socket
> также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права
> на запись и чтение в этот сокет, щелкнув правой кнопкой мыши
> по файлу и выбрав пункт "Свойства"c:\Program Files\ClamAV-x64>clamd
ERROR: Not listening on any interfacesэто если написать так как Вы сказали, но закомментировать TCPSocket'ы ч.я.д.н.к?
> я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или как там его и 127.0.0.1 localhost то бишь, ибо чето сПроцедура запуска спо-антивуруса под виндой инициирована...
Error: Нигроконшоль не обнаружена
Error: Не удаётся инициировать устройство "Автоген"
Error: Точка входа "Жо^" не была создана
Error: Целевое устройство "Гланды" недоступно
До взрыва осталось 3.. 2.. 1..
запускал под админом, но он висит в консоли....как бы его детачнуть оттуда или проще автораном О_О? подскажите доки на эту версию прожки под виндовые бинарники, не нашел официальных доков типа how to где бы разжевали все от и до ;).....манов нет особо....ну те влом ставить cygwin, virtualbox (linux), или как его msys...есть инет, в принципе я могу почитать ман по кламд, но хотелось бы от опытного человека услышать как можно юзать этот локалхостовский тср сокет ;) или его можно оставить запущенным так и забыть и он сам будет работать?
поругалось на пдфки с курсеровыми дипломами
> "/Program Files/ClamAV" или /Program Files/ClamAV-x64"А смысл, если на 64-битных виндах и так две раздельные директории Program Files?
Поправте если не прав.
ClamAV это движок.
Где его используют? Сервера в Линукс? Ладно.
Едиственный рабочий десктопный продукт на этом движке Immunet.
Даже то же ClamWin не имеет риалтаймового антивирусного монитора.
Что у нас есть, антивирусный движок для серверов и все?