2011clamAVv0.93分析.docVIP

Clam AV v0.93 分析及总结 一 该版改该进特点分析： 1 动态引擎配置： 这是这版加入的一个功能，区别于以前版本在扫描前输入的扫描配置，虽然clamav在名称上称为动态配置，但实际上仍然是写入程序中，配置好的。 static struct dconf_module modules[] = { { PE, PARITE, PE_CONF_PARITE, 1 }, { PE, KRIZ, PE_CONF_KRIZ, 1 }, } 对文件按大类和子类区分如： 大类、PE ARCHIVE ELF DOCUMENT MAIL OTHER PHISHING 子类PESPIN RAR HTML MBOX RIFF ENGINE 这一次在库的逻辑上进行明确的划分，就是这7大类型，这样无论外部库文件有多少种类型，最终都由有引擎分配到这7大类型结构当中。 2 动态引擎结构再一次封装： Clamav的匹配算法从最初的简单的匹配，到BM，AC，这些算法的单使用，到这版开始才将这些结构封装成了接口统一的引擎结构。将能用到的检测算法的都封装到了cl_engine结构中了，包括后来增加的钓鱼检测，动态配置结构等。 struct cl_engine { unsigned int refcount; /* reference counter */ unsigned short sdb; unsigned int dboptions; /* Roots table */ void **root; /* MD5 */ void **md5_hlist; /* B-M matcher for MD5 sigs for PE sections */ void *md5_sect; /* Zip metadata */ void *zip_mlist; /* RAR metadata */ void *rar_mlist; /* Phishing .pdb and .wdb databases*/ void *whitelist_matcher; void *domainlist_matcher; void *phishcheck; /* Dynamic configuration */ void *dconf; }; 3 钓鱼库放的是页面文本数据： 针对钓鱼检测方案，clamav做的很复杂，但通用的库却放的是页面的文本内容。 HTML.Phishing.Pay-5:3:*:6f6e6d6f7573656f7665723d2277696e646f772e7374617475733d2268747470733a2f2f7777772e70617970616c2e636f6d22 对应的文本是onmouseover=window.status= HTML.Phishing.Bank-90:3:*:7468657265666f72652c20696620796f75206172652074686520726967687466756c20686f6c646572206f6620746865206163636f756e7420706c656173652066696c6c20696e2074686520666f726d2062656c6f7720736f20746861742077652063616e20636865636b2074686520636f6d706c69616e63652077697468206f75722064617461626173652e 对应的文本是 therefore, if you are the rightful holder of the account please fill in the form below so that we can check the compliance with our database. HTML.Phishing.Card-4:3:*:69742068617320636f6d6520746f206f757220617474656e74696f6e2c207468617420796f7572207669736120646562697420636172642069736e277420726567697374657265642077697468206f7572207665726966696564206279 对应的文本是it has come to our