和朋友讨论库的设计时,偶然翻到箱子底下的老货了,这个是07年分析clamAV后来记录的笔记的整理的。现在已经是0.96.1了。新增不少检测及bytecode vm 新玩意,我是搞不动这些了人浮了也没那些兴趣了。
感觉以后也不大可能专搞这个方面的东西了,发出来别悟长毛了。感谢killer一块讨论引擎的设计的很多问题提了很多建议。关于对clamAV分析我是从0.15,0.20,0.51,0.54,0.71,0.80,0.84,0.93 这几个关键版本入手的。
详细的大家到这里下载http://www.vxjump.net/files/a_page/2/security1.htm ,我就不列出来了。
0.93版是07年时的最新版,也算是那时分析完这个系列的一个总结,希望能对研究反病毒引擎设计的朋友有些帮助。
对于病毒技术讨论一直都很热烈,但反病毒技术反而很封闭,缺少分享,这个算是抛砖引玉,希望对这方面感兴趣的朋友也一块分享。联系我或发布到vxjump也行。分析有很多主观因素在里面,如果里面有不正确的理解或者错误的地方请及时联系我。
目录:
一该版改该进特点分析
1 动态引擎配置
2 动态引擎结构再一次封装
3 钓鱼库放的是页面文本数据
4 一些小的变化
二 针对问题
CLAMAV引擎结构说明
2 如何检测钓鱼网站:PhishingSignatures
3 如何对一个目录进行多线程扫描?
4 ScanELF 的工作方法?
5 针对SIS (SymbianOS packages) / PDF and RTF files PE32+ (64-bit) executables RAR-SFX, Zip-SFX and CAB-SFX archives 大致的处理流程?
6 MD5 signatures based on PE sections (.mdb)具体工作方法?
7 如何进行解包,如何脱壳后查毒?
8如何进行格式识别?
9引擎结构分析图
10关于clamav引擎,一些我个人分析的意见
- 标 题:ClamAV v0.93分析及引擎总结
- 作 者:neineit
- 时 间:2010-11-30 11:05:33
- 链 接:http://bbs.pediy.com/showthread.php?t=125709