基于 ClamAV MD5 总和的白名单 (*.fp) 在 Ubuntu MATE 20.04.2 中不起作用

基于 ClamAV MD5 总和的白名单 (*.fp) 在 Ubuntu MATE 20.04.2 中不起作用

尝试让 ClamAV 忽略几个文件。这些几乎都是我确实使用的加密货币矿工。加密货币矿工被大多数防病毒程序标记,因为它们可以作为恶意软件分发(利用其他人的计算机来获取攻击者的利润)。同时,计算机用户自己也可以利用它们来获得微薄的利润,因为他们知道自己在做什么。ClamAV 还将矿工报告为恶意软件,我想教它忽略我实际使用的文件,因为它知道我在做什么。

我还想逐个忽略文件。忽略整个恶意软件类型可能会很危险。

嗯,这里仍然没有成功。

阅读此手册页:http://pig.made-it.com/clamav.html

然后是这个手册页:https://www.clamav.net/documents/allow-list-databases

然后是这个:https://www.clamav.net/documents/file-hash-signatures

在所有这些文件中,他们都指出我要做的就是:

  • 在 ClamAV 数据库文件夹(在 Ubuntu 上为 /var/lib/clamav)中创建一个文件,扩展名为.fp
  • 将文件签名放入其中,格式如下MD5:SIZE:COMMENT,每行一个,
    • MD5是文件的 MD5 和,
    • SIZE是文件大小,并且
    • COMMENT可以是任何内容,默认为文件名。

然而,博客条目指出格式必须是MD5:SIZE:ID_NAME,其中:

  • ID是一个 6 位数字的标识符(可以是格式中的当前日期YYMMDD)和
  • NAME是文件名无扩展名。

尝试遵循第二条受限制的规则集,但无济于事。Clamscan 仍然将该文件标记为病毒。

我有这个文件:

clamav@precision-7510:~$ ls -l /var/lib/clamav/*.fp
-rw-rw-r-- 1 clamav clamav  81 dub 12 22:54 /var/lib/clamav/sigfile.fp

内容如下:

2461e99e1135fe07ced7fc035db93797:2089980:210412_xmr-stak-linux-2.10.5-cpu.tar

然后我运行clamscan

clamav@precision-7510:~$ clamscan /home/pavel/Installace/Těžba\ a kryptoměny/Horníci/xmr-stak-linux-2.10.5-cpu.tar.xz 
/home/pavel/Installace/Těžba a kryptoměny/Horníci/xmr-stak-linux-2.10.5-cpu.tar.xz: Multios.Coinminer.Miner-6781728-2 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 8653609
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 7.19 MB
Data read: 1.99 MB (ratio 3.61:1)
Time: 17.547 sec (0 m 17 s)

所以我仍然得到检测。我做错了什么?

相关内容