我正在尝试为 ClamAV 创建一些自定义签名以进行测试。我创建了如下签名:
sigtool --md5 test.exe > test.hdb
接下来我要测试一下:
clamscan -d test.hdb test.exe
现在它似乎加载数据库并扫描文件,但我没有得到任何匹配的感染:
/tmp/scan/test.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 1
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 58.59 MB (ratio 0.00:1)
Time: 0.002 sec (0 m 0 s)
我是否遗漏了什么?
答案1
事实证明是默认扫描尺寸的问题。如果我使用--max-filesize,--max-scansize扫描就会完成。
命令:
clamscan -d test.hdb --max-filesize=100M --max-scansize=100M test.exe
输出:
/tmp/scan/test.exe: Test.Win32.VirusA.UNOFFICIAL FOUND
----------- SCAN SUMMARY -----------
Known viruses: 1
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 58.61 MB
Data read: 58.59 MB (ratio 1.00:1)
Time: 0.747 sec (0 m 0 s)