ClamAV 会扫描压缩文件吗?

ClamAV 会扫描压缩文件吗?

ClamAV在 Ubuntu 14.04 上使用,它会扫描压缩文件吗?我查看了它的文档,但什么也没找到。它还能检测影响 Microsoft Windows 的病毒吗?

答案1

1.是的,它确实如此,并且正如您从中看到的man clamscan,默认情况下它是启用的(*表示默认选项):

   --scan-archive[=yes(*)/no]
          Scan  archives  supported  by  libclamav.  If  you turn off this
          option, the original files will still be  scanned,  but  without
          unpacking and additional processing.

2.你应该问的更重要的问题是“ClamAV 是否​​也会扫描影响 Linux 的病毒?“,因为 ClamAV 检测到的大多数病毒都是 Windows 病毒。

答案2

确实如此,但它非常保守实际上,这些限制会让它默默地跳过存档文件。

请参阅此主题:https://lists.clamav.net/pipermail/clamav-users/2021-December/012177.html

下面是一些快速实验选项,我希望这些选项可以让 clamscan 在单用户用例中具有更直观的行为。

clamscan \
  --archive-verbose \
  --alert-exceeds-max=yes \
  --alert-encrypted=yes \
  --max-filesize=4095M \
  --max-scansize=4095M \
  --max-files=$[1000*1000] \
  --max-recursion=512 \
  --max-embeddedpe=256M \
  --max-htmlnormalize=256M \
  --max-htmlnotags=256M \
  --max-scriptnormalize=256M \
  --max-ziptypercg=16M \
  --pcre-max-filesize=4095M

然而,我发现即使这样,这种行为仍然不稳定:

  • 您不能设置 4 GB 或以上的限制
  • --archive-verbose实际上并没有打印出档案成员
  • 扫描同一组受感染的文件
    • ...纯目录:在各种文件中产生了大约十几个匹配项,
    • ...946 MB .zip 文件:仅报告档案中单个文件中的一个匹配项,其余的将被默默跳过
    • ...2.1 GB .tar 文件:根本没有产生任何匹配,甚至没有“Heuristics.Limits.Exceeded”警告

不幸的是,我没有时间彻底调试这个 ATM。

似乎 clamav 主要关注(邮件)服务器扫描,这导致了一些限制性行为和硬编码限制,甚至无法通过运行时参数覆盖。

相关内容