我们正在调查似乎使用大量内存的应用程序,其中之一是 clamav。我们注意到 /var/lib/clamav/main.cld 中有很多针对 windows、osx、xls、doc、rtf 等的 av 定义,我们不需要加载它们,因为我们只扫描 linux 机器 (sles15 )。我们每小时运行 clamscan,每次将病毒定义加载到内存中时,它都会加载所有不适用于我们系统的病毒定义,消耗大量内存并导致 clamscan 最终要么被杀死,要么杀死另一个进程(使用有限的 RAM(2GB)。我们尝试删除 main.cld 中包含 Win|Osx|java|xls|doc|pdf|andr|rtf|swf 的所有行,但这导致文件格式错误,并且 clamscan 抛出如下错误消息。
Starting Clam AntiVirus Daemon: LibClamAV Error: cli_cvdload: Corrupted CVD header
LibClamAV Error: Can't load /var/lib/clamav/main.cvd: Malformed database
LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
有没有办法获得仅适用于 Linux 的病毒定义集? (对于 Cisco AMP 来说是这样的https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/214655-amp-for-endpoints-clamav-virus-definiti.pdf)或正确编辑这些 .cld 文件的方法?我还看到您可以定义自己的一组定义,但没有找到太多相关信息。
答案1
Linux专用的cvd可以在这里找到ClamAV数据库
这是一个 321KB 的文件
sigtool --info linux.cvd
File: linux.cvd
Build time: 05 Jan 2022 13:04 -0500
Version: 887
Signatures: 3240
Functionality level: 73
Builder: raynman
MD5: 1a3676f21437ec3f5e32375de3fd28fd
Digital signature: ZYWsOkf+tMsvcHYn44tzHHAV2HlQASR52ESQbW9ffUNx+65iPKLL56KJwJGQXTS1Ld5xanbQWro1tQjzpYMBvvs4yXK5D5iV54+QhSKDJWVArcFMU3FKwc4h7A7+zMAHtBFRn9IElDkhqi7GCHz5MeKKkmSadDPBk9C2Ce4u1r
Verification OK.
解压并查看一些文件后,签名与 unix/linux 严格相关。我希望这就是你想要的。