clamav的病毒库文件的文件头的信息说明(clamav版本号等)

Author : Samson
Date : 01/04/2022

在开源病毒检测工具clamav中，是通过对病毒库中的病毒特征值来进行对比的，病毒库文件存放于/var/lib/clamav目录下，主要是三个cvd文件，如下：

bytecode.cvd  daily.cvd  freshclam.dat   main.cvd

打开cvd文件都能够看到第一行中有一段以冒号相隔的信息，如下：

~$ sed -n '1p' /var/lib/clamav/main.cvd
ClamAV-VDB:16 Sep 2021 08-32 -0400:62:6647427:90:137eccce31aacb21b5a98bb8c21cefd6:twaJBls8V5q64R7QY10AatEtPNuPWoVoxTaNO1jpBg7s5jIMMXpitgG1000YLp6rb0TWkEKjRqxneGTxuxWaWm7XBjsgwX2BRWh/y4fhs7uyImdKRLzQ5y8e2EkSChegF/i8clqfn+1qetq9j4gbktJ3JZpOXPoHlyr2Dv9S/Bg:sigmgr:1631795562

那么这些信息是什么意义呢？可以在clamav的源码中的./libclamav/cvd.c文件中看到对此文件头信息的解析，如下：

struct cl_cvd *cl_cvdparse(const char *head)
{struct cl_cvd *cvd;char *pt;if (strncmp(head, "ClamAV-VDB:", 11)) {cli_errmsg("cli_cvdparse: Not a CVD file\n");return NULL;}if (!(cvd = (struct cl_cvd *)cli_malloc(sizeof(struct cl_cvd)))) {cli_errmsg("cl_cvdparse: Can't allocate memory for cvd\n");return NULL;}if (!(cvd->time = cli_strtok(head, 1, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the creation time\n");free(cvd);return NULL;}if (!(pt = cli_strtok(head, 2, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the version number\n");free(cvd->time);free(cvd);return NULL;}cvd->version = atoi(pt);free(pt);if (!(pt = cli_strtok(head, 3, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the number of signatures\n");free(cvd->time);free(cvd);return NULL;}cvd->sigs = atoi(pt);free(pt);if (!(pt = cli_strtok(head, 4, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the functionality level\n");free(cvd->time);free(cvd);return NULL;}cvd->fl = atoi(pt);free(pt);if (!(cvd->md5 = cli_strtok(head, 5, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the MD5 checksum\n");free(cvd->time);free(cvd);return NULL;}if (!(cvd->dsig = cli_strtok(head, 6, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the digital signature\n");free(cvd->time);free(cvd->md5);free(cvd);return NULL;}if (!(cvd->builder = cli_strtok(head, 7, ":"))) {cli_errmsg("cli_cvdparse: Can't parse the builder name\n");free(cvd->time);free(cvd->md5);free(cvd->dsig);free(cvd);return NULL;}if ((pt = cli_strtok(head, 8, ":"))) {cvd->stime = atoi(pt);free(pt);} else {cli_dbgmsg("cli_cvdparse: No creation time in seconds (old file format)\n");cvd->stime = 0;}return cvd;
}

由以上函数可知，文件头’ClamAV-VDB:16 Sep 2021 08-32 -0400:62:6647427:90:137eccce31aacb21b5a98bb8c21cefd6:twaJBls8V5q64R7QY10AatEtPNuPWoVoxTaNO1jpBg7s5jIMMXpitgG1000YLp6rb0TWkEKjRqxneGTxuxWaWm7XBjsgwX2BRWh/y4fhs7uyImdKRLzQ5y8e2EkSChegF/i8clqfn+1qetq9j4gbktJ3JZpOXPoHlyr2Dv9S/Bg:sigmgr:1631795562’中的信息的意义如下：
第一个是表示是clamav病毒库的标识；
第二个表示此病毒库创建的时间；
第三个表示此病毒库的版本号；
第四个表示此病毒库中的特殊库的条数；
第五个表示功能性级别；
第六个表示此病毒库的md5校验值；
第七个表示此病毒库的数字签名；
第八个表示此病毒库的创建者的名字；
第九个表示此病毒库的创建时的相对于1970.01.01 00:00:00的秒数；

病毒库更新可通过病毒库的版本号的对比来决定是否进行更新的动作；

clamav的病毒库文件的文件头的信息说明(clamav版本号等)相关推荐

【Android 逆向】ELF 文件格式 ( ELF 文件当前版本号 | 操作系统 ABI 信息 | ABI 版本 | 文件头校验 | 文件头长度信息 )
文章目录一.ELF 文件当前版本号二.操作系统 ABI 信息三.ABI 版本四.文件头校验五.文件头长度信息总结一.ELF 文件当前版本号 ELF 文件头第 6 字节 : 版本信息 ; ...
pycharm新建py文件时，自动补充文件头注释信息
步骤: 1.File -->Settings 2.选择 File and Code Templates -> Files -> Python Script 文件头注释信息代码样式: ...
各类文件的文件头标志[转]
各类文件的文件头标志参见 http://www.garykessler.net/library/file_sigs.html 扩展名文件头标识(HEX) 文件描述 123 00 00 1A 00 ...
java 文件头_常用文件的文件头(附JAVA测试类)
1. MIDI (mid),文件头:4D546864 2. JPEG (jpg),文件头:FFD8FF 3. PNG (png),文件头:89504E47 4. GIF (gif),文件头:47494 ...
html的文件头标志,各类文件的文件头标志.docx
各类文件的文件头标志.docx 还剩 12页未读, 继续阅读下载文档到电脑,马上远离加班熬夜! 亲,很抱歉,此页已超出免费预览范围啦! 如果喜欢就下载吧,价低环保! 内容要点: 扩展名文件头标识( ...
html的文件头标志,各类文件的文件头标志.doc
各类文件的文件头标志 1.从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头TIFF (ti ...
Shapefile文件读取-文件头
1 介绍在Shapefile文件格式介绍一文中我们介绍了shapefile文件的结构组成,本文主要介绍如何读取shapefile文件头部分,使用的语言是c++. 2 文件头结构 Shapefile文 ...
如何备份卡巴斯基的病毒库文件
我的机子再次重装后,我也再一次的安装了好用的杀软---卡巴斯基. 可是当我升级的时候,升级的时间竟然要两个小时.于是我想要找到备份病毒库文件的方法,在网上寻求了一段时间后,终于找到了令我满意的答案. ...
APE文件学习——文件头(1)
我没有怎么搜Google关于ape文件格式,一来好像不是很多(或是我没搜到),另一方面是因为下载了Monkey's Audio Codec 的SDK后,里面有定义,所以就自己钻研起来. 原文是酱紫的 ...

clamav的病毒库文件的文件头的信息说明(clamav版本号等)

clamav的病毒库文件的文件头的信息说明(clamav版本号等)相关推荐

最新文章

热门文章