我ClamAV在 Ubuntu 14.04 上使用,它会扫描压缩文件吗?我查看了它的文档,但什么也没找到。它还能检测影响 Microsoft Windows 的病毒吗?
答案1
1.是的,它确实如此,并且正如您从中看到的man clamscan,默认情况下它是启用的(*表示默认选项):
--scan-archive[=yes(*)/no]
Scan archives supported by libclamav. If you turn off this
option, the original files will still be scanned, but without
unpacking and additional processing.
2.你应该问的更重要的问题是“ClamAV 是否也会扫描影响 Linux 的病毒?“,因为 ClamAV 检测到的大多数病毒都是 Windows 病毒。
答案2
确实如此,但它非常保守实际上,这些限制会让它默默地跳过存档文件。
请参阅此主题:https://lists.clamav.net/pipermail/clamav-users/2021-December/012177.html
下面是一些快速实验选项,我希望这些选项可以让 clamscan 在单用户用例中具有更直观的行为。
clamscan \
--archive-verbose \
--alert-exceeds-max=yes \
--alert-encrypted=yes \
--max-filesize=4095M \
--max-scansize=4095M \
--max-files=$[1000*1000] \
--max-recursion=512 \
--max-embeddedpe=256M \
--max-htmlnormalize=256M \
--max-htmlnotags=256M \
--max-scriptnormalize=256M \
--max-ziptypercg=16M \
--pcre-max-filesize=4095M
然而,我发现即使这样,这种行为仍然不稳定:
- 您不能设置 4 GB 或以上的限制
--archive-verbose实际上并没有打印出档案成员- 扫描同一组受感染的文件
- ...纯目录:在各种文件中产生了大约十几个匹配项,
- ...946 MB .zip 文件:仅报告档案中单个文件中的一个匹配项,其余的将被默默跳过
- ...2.1 GB .tar 文件:根本没有产生任何匹配,甚至没有“Heuristics.Limits.Exceeded”警告
不幸的是,我没有时间彻底调试这个 ATM。
似乎 clamav 主要关注(邮件)服务器扫描,这导致了一些限制性行为和硬编码限制,甚至无法通过运行时参数覆盖。