和朋友讨论库的设计时,偶然翻到箱子底下的老货了,这个是07年分析clamAV后来记录的笔记的整理的。现在已经是0.96.1了。新增不少检测及bytecode vm 新玩意,我是搞不动这些了人浮了也没那些兴趣了。 感觉以后也不大可能专搞这个方面的东西了,发出来别悟长毛了。感谢killer一块讨论引擎的设计的很多问题提了很多建议。关于对clamAV分析我是从0.15,0.20,0.51,0.54,0.71,0.80,0.84,0.93 这几个关键版本入手的。 详细的大家到这里下载62eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6^5K9Y4g2E0M7q4)9J5k6h3&6W2N6q4)9J5c8X3k6A6L8r3g2K6i4K6u0r3j5g2)9#2k6Y4m8S2k6$3g2Q4x3V1j5J5i4K6u0r3M7$3g2U0N6i4u0A6N6s2V1I4i4K6u0W2K9s2c8E0 ,我就不列出来了。 0.93版是07年时的最新版,也算是那时分析完这个系列的一个总结,希望能对研究反病毒引擎设计的朋友有些帮助。 对于病毒技术讨论一直都很热烈,但反病毒技术反而很封闭,缺少分享,这个算是抛砖引玉,希望对这方面感兴趣的朋友也一块分享。联系我或发布到vxjump也行。分析有很多主观因素在里面,如果里面有不正确的理解或者错误的地方请及时联系我。 目录: 一该版改该进特点分析 1 动态引擎配置 2 动态引擎结构再一次封装 3 钓鱼库放的是页面文本数据 4 一些小的变化 二 针对问题 CLAMAV引擎结构说明 2 如何检测钓鱼网站:PhishingSignatures 3 如何对一个目录进行多线程扫描? 4 ScanELF 的工作方法? 5 针对SIS (SymbianOS packages) / PDF and RTF files PE32+ (64-bit) executables RAR-SFX, Zip-SFX and CAB-SFX archives 大致的处理流程? 6 MD5 signatures based on PE sections (.mdb)具体工作方法? 7 如何进行解包,如何脱壳后查毒? 8如何进行格式识别? 9引擎结构分析图 10关于clamav引擎,一些我个人分析的意见
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
