1、18961896192019201987198720062006ClamAVClamAV软件分析与使用软件分析与使用刘功申上海交通大学信息安全工程学院信息安全工程学院信息安全工程学院School of Information Security Engineering本章学习目标本章学习目标了解ClamAV引擎的框架了解ClamAV的核心代码掌握ClamAV使用方法信息安全工程学院信息安全工程学院School of Information Security Engineering本章内容本章内容ClamAV的总体结构ClamAV的使用说明安装配置源代码分析章节实验信息安全工程学院信息安全工程学院
2、School of Information Security Engineering1 1 ClamAVClamAV的总体结构的总体结构ClamAV vs OAV相同点:ClamAV和OAV两个防病毒软件非常类似,二者都是使用匹配特征代码的方式来检查病毒,甚至它们的病毒特征代码库都是一样的 信息安全工程学院信息安全工程学院School of Information Security Engineering不同点:ClamAV是在clamd启动时将病毒特征代码库加载入内存,并且根据文件类型把特征代码库进行了分类。在内存中,为每种文件类型对应的特征代码库建立了一棵庞大的树,然后,在这棵树为核心数据
3、结构,使用有限自动机来进行匹配。而OAV则是对每个特征码做一个HASH,匹配的时候先匹配HASH,从而缩小了匹配范围,最后再逐个匹配。ClamAV使用C语言编制,而OAV使用java语言信息安全工程学院信息安全工程学院School of Information Security EngineeringClamAVClamAV的组件的组件信息安全工程学院信息安全工程学院School of Information Security Engineeringmain.cvd:计算机病毒特征代码库,该部分为主库。daily.cvd:计算机病毒特征代码库,该部分为日常更新的库。clamd:基于多线程开发的
4、查杀引擎守护进程,通过socket,streams,file descriptor进行扫描操作。clamdscan:调用clamd进行病毒扫描的客户端程序。二者通过Socket进行通信。clamscan:可独立响应用户请求(在clamd未运行时)的客户端程序。clamscan读取病毒特征代码库的信息,并进行病毒扫描。其效率不如clamdscan和clamd的组合高。信息安全工程学院信息安全工程学院School of Information Security Engineeringfreshclam:更新病毒特征代码库的程序。libclamav:病毒扫描函数库,这是核心算法部分。sigtool:
5、clamav管理工具,可以查看病毒特征代码库文件(.cvd)的信息、解压病毒特征代码库.cvd文件、制作病毒特征代码库文件等。clamav-milter:email扫描器。在该组件的配合下,ClamAV可以完成对邮件服务器的病毒扫描工作。clamuko:在Linux/FreeBSD系统中,为了实现on-access病毒扫描功能,必须安装dazuko组件,这就是所谓的clamuko。freshclam.conf:用于配置病毒特征库升级程序(freshclam)。clamd.conf:用于配置 clamd和clamscan程序。信息安全工程学院信息安全工程学院School of Informati
6、on Security Engineering2 2 ClamAVClamAV使用使用命令命令命令解释命令解释PING检查守护进程的状态VERSION输出版本信息RELOAD重新加载数据库SHUTDOWN正常退出SCAN file/directory 扫描文件或目录,同时支持压缩文件RAWSCAN file/directory 扫描文件或目录,但是考虑文件类型CONTSCAN file/directory 扫描文件或目录,并且找到病毒后仍继续扫描MULTISCAN file/directory 使用多线程扫描文件或目录INSTREAM 扫描流,输入的格式如下:,其中用无符号四字节整数表示数据的
7、字节数,是实际的数据。扫描以=0表征结束,另外总长度不能超过配置文件中设置的流最大长度,否则连接将被关闭FILDES Unix特有的,根据文件描述符进行扫描STATS 返回服务端的队列状态信息以及内存的使用情况IDSESSION,END 用来发起或结束一个会话,这样,就能在一个连接中,进行多次不同的扫描,省去建立新的连接。STREAM(deprecated,use INSTREAM instead)废弃信息安全工程学院信息安全工程学院School of Information Security Engineering工具名功能介绍Clamscan最简单的扫描工具,它是一个独立的程序,可以单独运
8、行而无须Clamd支持。但是的它的缺点是不能与其它Clamscan实例共享内存线程等。它适合于对单个文件进行临时的扫描Clamdscan功能与Clamscan一样,但是它依赖于Clamd,它是通过将请求通过Socket发给Clamd让Clamd做实际的扫描工作,再从Clamd取回结果即可。它的效率高,推荐使用。Clamuko这并不是一个工具,而是Clamd中的一个重要模块,开启了它才能进行访问时扫描。但它不支持NFS,原因是其底层模块没有捕获NFS请求信息安全工程学院信息安全工程学院School of Information Security Engineering3 3 安装配置安装配置软硬
9、件环境:硬件:普通PC机 操作系统:Fedora 7 软件版本:ClamAV 0.94.2信息安全工程学院信息安全工程学院School of Information Security Engineering安装准备 安装前要先创建用户clamav和用户组clamav。groupadd clamav useradd-g clamav-s/bin/false-c Clam AntiVirus clamav信息安全工程学院信息安全工程学院School of Information Security Engineering安装 在ClamAV代码目录下执行如下命令,进行安装。./configure m
10、ake(as root)make install 在Linux Fedora 7系统下,ClamAV的运行文件会默认安装在“/usr/local/sbin”目录下。在这个目录下可以找到Clamd等可执行程序。信息安全工程学院信息安全工程学院School of Information Security Engineering配置 安装好程序后,接下来要进行配置。配置工作主要有三件事情:1、修改配置文件clamd.conf 该文件默认路径为/usr/local/etc/clamd.conf。根据man clamd.conf的信息来设置clamd.conf。特别要注意的是,要把Example这一行注
11、释掉,否则clamd.conf不生效。2、修改配置文件freshclam.conf 该文件默认路径为/usr/local/etc/freshclam.conf。如果英文阅读能力较强,可以非常容易理解各个配置项的意思。同样,也要把Example这一行注释掉,否则freshclam.conf不生效。最关键的配置项包括:信息安全工程学院信息安全工程学院School of Information Security Engineering Checks:配置特征代码库的更新频率 ProxySettings:设置代理服务器的地址,账号,口令等 MaxAttempts:最大尝试联网次数 3、下载特征代码库
12、读者可以从http:/ of Information Security Engineering运行 先以root用户运行clamd(默认路径:/usr/sbin/clamd)。如果要进行例行扫描,用普通用户运行clamdscan(默认路径:/usr/bin/clamdscan)即可。clamdscan可以支持当前文件夹(递归)扫描,也支持一个特定文件的扫描。还可以指定所用的扫描特征代码库,这个功能可以用来帮助测试自己制作的病毒特征代码库的正确性。信息安全工程学院信息安全工程学院School of Information Security Engineering4 4 源代码分析源代码分析分析顺
13、序 循着软件的使用顺序对软件进行分析,以期对软件的使用及结构都有一定的认识。因此,我们将先讨论软件的配置和病毒特征代码库,再讨论clamd的启动,接着讨论clamdscan的启动及其向clamd发送请求的过程,最后讨论clamd的对请求的响应和扫描过程。信息安全工程学院信息安全工程学院School of Information Security Engineering(1 1)ClamAVClamAV配置配置ClamAV的配置选项记录在/etc/clamd.conf文件中。配置选项的数据结构如下:信息安全工程学院信息安全工程学院School of Information Security En
14、gineeringshared/shared/optparser.coptparser.c函数名:optparser()功能:对参数进行解析,以链表形式返回选项,函数名:optfree()功能:释放选项链表函数名:optaddarg()功能:向选项链表中加入新的选项信息安全工程学院信息安全工程学院School of Information Security Engineering(2 2)病毒特征代码库病毒特征代码库 ClamAV有两个官方病毒特征代码库文件:main.cvd和daily.cvd。这种文件实际上是带有数字签证的压缩文件,它包含了一个或多个真正的病毒代码库文件。main.cvd的
15、内容:main.db main.fp main.hdb main.info main.mdb main.ndb main.zmd信息安全工程学院信息安全工程学院School of Information Security Engineeringmain.db文件中病毒特征代码的形式是:MalwareName=HexSignature 其中HexSignature可以由*,数字分隔成一个一个的part-signature。main.ndb文件中的病毒特征代码的形式是:MalwareName:TargetType:Offset:HexSignature:MinEngineFunctionality
16、Level:Maxmain.mdb文件中的病毒特征代码的形式是:PESectionSize:MD5:MalwareName信息安全工程学院信息安全工程学院School of Information Security Engineering(3 3)clamdclamd初始化初始化 ClamAV执行过程的第一步就是进行执行环境的初始化,其主要工作包括解析命令、载入配置文件、解除特权、初始化日志、选择socket类型、配置对可疑程序类别的检测处理、设置临时文件夹等。这些工作主要涉及的文件:calmd/clamd.c calmd/server-th.c calmd/readdb.c信息安全工程学院信
17、息安全工程学院School of Information Security Engineeringclamd/clamd.cclamd/clamd.c函数名称:main()函数功能:这是入口函数,主要完成对引擎的初始化。工作包括解析命令、载入配置文件、解除特权(如果不是windows或os2系统)、初始化日志、选择socket类型、配置对可疑程序类别的检测处理、设置临时文件夹、编译引擎和初始化socket可能有多个、转入后台工作调用acceptloop_th()等待客户端连接。信息安全工程学院信息安全工程学院School of Information Security Engineeringc
18、lamd/server-th.cclamd/server-th.c 函数名称:acceptloop_th()函数功能:该函数主要功能是拦截消息,添加消息处理函数,调用reload_db()加载数据库,利用thrgmr_new()创建线程池,等待客户端连接,调用thrmgr_dispatch()函数分发工作。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:reload_db()函数功能:检查病毒特征代码库状态或者调用cl_load()加载病毒特征代码库,重新加载后调用cl_engine_compile()为开始扫描作最
19、后的准备。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:scanner_thread()函数功能:本函数是服务器收到客户端请求的处理函数。它主要的功能是添加消息处理函数。然后调用command()来处理客户端的请求,并处理command()的返回结果。信息安全工程学院信息安全工程学院School of Information Security Engineeringreaddb.creaddb.c 函数名称:cl_load()函数功能:根据输入的参数,决定如何装载病毒特征代码库。函数名称:cli_loaddbdir
20、()函数功能:在指定的文件夹内加载特征代码库函数名称:cli_load()函数功能:根据病毒特征代码数据库文件的扩展名加载、解析病毒库文件,并向扫描引擎(engine)里添加由解析病毒库文件得到的病毒特征码、病毒名等。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:cli_initroots()函数功能:初始化各种文件类型匹配的根结构函数名称:cli_dbgets()函数功能:从病毒特征代码库中读取数据。病毒特征代码库既可能是个普通文件,也可能是压缩包,通过这个函数对上层屏蔽了这个区别。信息安全工程学院信息安全工程学
21、院School of Information Security Engineeringdbdb文件的加载文件的加载为了使读者进一步清晰病毒特征代码库的加载过程,本节仅以.db文件为线索,详细讲解病毒特征代码库的加载过程。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:cli_loaddb()函数功能:该函数完成对.db文件的解析,并加载到引擎中。它首先初始化各种类型的匹配器的根结构。然后从文件中读入部分数据到缓存中,调用cli_parse_add()将其加入引擎。函数名称:cli_parse_add()函数功能:解析
22、病毒特征代码库中的一条记录,并通过cli_ac_addsig()将其加入到引擎。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:cil_ac_addsig()函数功能:该函数完成添加一个段的工作。函数名称:cli_ac_addpatt()函数功能:更新转移矩阵,添加匹配模式。信息安全工程学院信息安全工程学院School of Information Security Engineering(4 4)clamdscanclamdscan模块模块 clamdscan的运行流程是:读取并解析命令行参数、读取并解析clamd
23、.conf配置文件的参数、建立到服务端(clamd)的socket、向socket写入待扫描的文件名(或者file descriptor)和扫描方式。该模块主要涉及clamdscan.c和clinet.c两个文件。信息安全工程学院信息安全工程学院School of Information Security Engineeringclamdscan.cclamdscan.c 函数名称:main()函数功能:该函数主要是解析一些配置信息,创建连接clamd的信息,然后通过client()函数与clamd交互,并打印最后的统计信息。函数名称:reload_server_database()函数功能:
24、通过该函数重新加载clamd的病毒特征代码库。信息安全工程学院信息安全工程学院School of Information Security Engineeringclient.cclient.c函数名称:client()函数功能:根据扫描类型的不同,调用不同的函数进行扫描,如果是文件或文件夹则调用dsfile(),dsstream()用于发送数据流给clamd扫描。如果支持对文件描述符进行扫描,则调用clamd_fdscan()。这些函数都返回扫描到的病毒的个数。信息安全工程学院信息安全工程学院School of Information Security Engineering(5 5)cla
25、mdclamd响应模块响应模块 Clamd程序的功能之一是响应clamdscan的命令,其实现方式是通过监听clamdscan的socket连接做到的。clamd对clamdscan的响应源代码实现主要放在clamd/thrmgr.c文件中。在这个文件里,主要完成线程池的操作,包括线程的创建和分配。涉及到的主要函数包括thrmgr_dispatch()和thrmgr_worker()。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:thrmgr_dispatch()函数功能:使用work_queue_add()将指定
26、的客户请求加入到工作队列,并适时地安排工作给thrmgr_worker()。函数名称:thrmgr_worker()函数功能:创建并管理客户端连接线程池。信息安全工程学院信息安全工程学院School of Information Security Engineering(6 6)clamdclamd扫描模块扫描模块 Clamd扫描模块是ClamAV软件的核心部分,它向读者展示了如何在一个染毒文件中发现病毒的具体过程。信息安全工程学院信息安全工程学院School of Information Security Engineeringsession.csession.c 函数名称:command(
27、)函数功能:判断客户端的请求类型并调用相应函数予以执行 函数名称:recvfd_and_scan()函数功能:接收文件描述符,调用scanfd()进行扫描信息安全工程学院信息安全工程学院School of Information Security Engineeringscanner.cscanner.c 函数名称:scan()函数功能:该函数主要是对要扫描的对象做初步鉴定,并决定是否进行扫描。信息安全工程学院信息安全工程学院School of Information Security Engineeringscanners.cscanners.c 函数名称:cl_scanfile()函数功能
28、:打开文件,调用cl_scandesc()通过文件描述符扫描文件,返回扫描结果。函数名称:cl_scandesc()函数功能:初始化cli_ctx上下文,调用cli_magic_scandesc()进行扫描,如果扫描结果是CL_CLEAN则表示正常。如果发现了可疑程序,则返回CL_VIRUS。所有的根据文件类型的调用,最终都要调用此函数进行病毒扫描。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:cli_magic_scandesc()函数功能:根据文件类型,进行区别扫描。函数名称:dirscan()函数功能:该函数
29、主要是对文件夹进行处理,然后对其中的文件逐一扫描。信息安全工程学院信息安全工程学院School of Information Security Engineeringmatcher.cmatcher.c 函数名称:cli_scandesc()函数功能:通过文件描述符进行扫描。函数名称:cli_validatesig()函数功能:验证特征码起始偏移是否有效。函数名称:cli_caloff()函数功能:计算特征码偏移的范围 信息安全工程学院信息安全工程学院School of Information Security Engineeringmatcher-matcher-ac.cac.c 该文件主要
30、实现了AC(Aho_Corasick自动机)多模式匹配算法,该算法在1975年产生于贝尔实验室。函数名称:cli_ac_initdata()函数功能:初始化struct ac_data。信息安全工程学院信息安全工程学院School of Information Security Engineering函数名称:cli_ac_scanbuff()函数功能:对buffer中的数据进行扫描。函数名称:ac_findmatch()函数功能:匹配一个pattern。信息安全工程学院信息安全工程学院School of Information Security Engineering5 5 章节实验章节实验【实验目的】掌握ClamAV杀毒工具的使用【实验平台】Fedora 7 ClamAV 0.94.2【实验步骤】详细参考本书7.2、7.3两个章节。【实验素材】解压目录AttachmentCh07信息安全工程学院信息安全工程学院School of Information Security EngineeringThank You!