The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск свободного антивирусного пакета ClamAV 0.99"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от opennews (??) on 02-Дек-15, 12:32 
Компания Cisco выпустила (http://blog.clamav.net/2015/12/clamav-099-has-been-released....) свободный антивирусный пакет ClamAV 0.99 (http://www.clamav.net/), в котором представлено несколько существенных новшеств. В частности, переработан код сканирования файлов налету, добавлена поддержка правил блокировки YARA и совместимых с perl регулярных выражений.


Ключевые улучшения (https://github.com/vrtadmin/clamav-devel/blob/master/ChangeLog) ClamAV 0.99:

-  Возможность (http://blog.clamav.net/2015/06/clamav-099b-meets-yara.html) использования коллекции правил YARA (http://yararules.com/), предоставляющей сигнатуры для выявления различных категорий вредоносного ПО. Правила YARA сочетают строковые маски с логическими выражениями, описывающими условия применения масок. Для подключения правил, созданных сообществом YARA, достаточно скопировать их в штатную директорию с вирусными базами ClamAV. Из достоинств применения  ClamAV вместе с YARA отмечается возможность задействования средств декомпозиции, т.е. автоматического сопоставления, независимо от применения сжатия данных и типа файлов (документы, архивы и т.п.);

-  Расширение возможностей по составлению логических сигнатур, которые теперь могут включать многие средства, присутствующие в сигнатурах YARA. Например, можно использовать регулярные выражения PCRE (Perl Compatible Regular Expressions), задавать альтернативные строковые маски и применять атрибуты YARA;

-  Новая реализация системы прозрачной проверки открываемых файлов (on-access scanning) для платформы Linux. Новая реализация основана на использовании механизма fanotify и позволяет организовать проверку не только в момент начала чтения данных из файла, но и при открытии файла. Из новшеств отмечается также возможность рекурсивного и динамического отслеживания директорий (автоматически добавляются новые директории) и поддержка блокирования доступа к файлу при обнаружении в нём вируса.

-  Добавлен  API для организации callback-вызовов в случае обнаружения вирусов, позволяющий в приложениях, работающих в режиме  all-match, подключать собственные обработчики для формирования отчёта или записи в лог;

-  Поддержка подключения базы типовых паролей, которые будут использованы для попытки раскрытия зашифрованных zip-файлов;

-  Поддержка файлов в формате TIFF;
-  Поддержка файлов Adobe Flash, сжатых с использованием LZMA;
-  Поддержка документов Microsoft Office 2003 XML с вложениями MSO;
-  Новый вид сигнатур для применения с файлами неизвестного типа;
-  Улучшен эвристический алгоритм предотвращения потери данных;
-  В утилиту sigtool добавлена опция "--ascii-normalize", позволяющая генерировать нормализованные версии ASCII-файлов;
-  Изменён путь установки на платформе  Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".


URL: http://blog.clamav.net/2015/12/clamav-099-has-been-released....
Новость: http://www.opennet.ru/opennews/art.shtml?num=43432

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


7. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +11 +/
Сообщение от eRIC (ok) on 02-Дек-15, 13:11 
Да неужели, а то я начал думать что после того как Cisco купила ClamAV забросила его разработку и все постепенно затормозилось...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +1 +/
Сообщение от Аноним (??) on 02-Дек-15, 13:29 
>Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".
>в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64"

Вообще-то 32-битный софт на Windows ставится в специально для него предназначенный каталог "C:\Program Files (x86)", а 64-битный софт ставится в каталог "C:\Program Files".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +1 +/
Сообщение от Аноним (??) on 02-Дек-15, 13:54 
Имеется в виду установка на x86 и x86_64 системы. В 32-разрядной Винде будет каталог "/Program Files/ClamAV", а в 64-разрядной "/Program Files/ClamAV-x64" (в это случае "C:\Program Files (x86)" не будет содержать каталог с ClamAV).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от клоун on 02-Дек-15, 14:06 
Он имеет в виду, что в ОС Windows есть функция получения каталога установки ПО. А ClamAV переизобретает велосипед и нарушает правила разработки ПО для Windows.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

45. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от НяшМяш on 02-Дек-15, 18:24 
Windows уже давно нарушила все возможные правила разработки ПО. Так что пофиг.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +1 +/
Сообщение от тоже Аноним email(ok) on 02-Дек-15, 20:06 
И чем же это, интересно, нарушает?
Программа ставится в папку для программ, определенную той самой функцией. По всем правилам.
То, что сама программа называется по-разному - так тут никаких правил и нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

60. "Выпуск свободного антивирусного пакета ClamAV 0.99"  –1 +/
Сообщение от Аноним (??) on 04-Дек-15, 10:47 
> И чем же это, интересно, нарушает?
> Программа ставится в папку для программ, определенную той самой функцией. По всем
> правилам.
> То, что сама программа называется по-разному - так тут никаких правил и
> нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.

Ставится - то он ставится. Но служба, например, не регистрируется. И, тем более, не запускается. Так что это недоделок.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

32. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +2 +/
Сообщение от Комедиант on 02-Дек-15, 16:26 
Отличный антивирус, всем любителям опенсорса рекомендую.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +1 +/
Сообщение от Комедиант on 02-Дек-15, 16:40 
Такой же отличный продукт...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

50. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +2 +/
Сообщение от Анончег on 02-Дек-15, 23:37 
Почём Циська платит за пост прославляющий ХламAV?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

51. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +1 +/
Сообщение от Анончег on 02-Дек-15, 23:38 
> Почём Циська платит за пост прославляющий ХламAV?

Не для себя, друг интересуется.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от botman (ok) on 02-Дек-15, 23:38 
Да, прогнал я тут ClamAV по всему хомяку. В основном проблемы были около Wine и защиты(упаковки) проприетарного софта в Linux. Незначительно есть эксплойтов, заразы и сбора данных у старого содержимого кэша браузеров беток Chrome, Opera и на текущей бете яндекс-браузнра есть такая фигня. На давно удалённый из Firefox но оставшемся на диске AdBlockPlus выругалось за сбор данных(на uBlock Origin нигде не ругается). Всё что можно подчистил, но вообще ничего серьёзного не нашло.

Отсюда сделал для себя выводы что обычно вирусы в Linux лезут через проприетарные бетки браузеров, устанощики для Windows и всевозможные носители типа облаков и флешек.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

57. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 03-Дек-15, 17:14 
Лезут оттуда же откуда и в винде: через браузер и стремный софт.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

37. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +4 +/
Сообщение от Аноним (??) on 02-Дек-15, 16:49 
Народу бы им побольше, сандбокс разгребать. Регулярно засылаю туда выловленное в почте, но процент добавленых-в-базу к отосланным пока не радует.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 02-Дек-15, 17:24 
Как он для использование в связке с почтой?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 02-Дек-15, 17:30 
> Как он для использование в связке с почтой?

В связке, без вязки - тишь да гладь, ничего никогда не находит.


Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Иванов Иван on 02-Дек-15, 18:05 
> ничего никогда не находит.

У меня нашёл много всего при первом сканировании.
После этого уже больше месяца тихо


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +3 +/
Сообщение от Аноним (??) on 02-Дек-15, 18:09 
> У меня нашёл много всего при первом сканировании.
> После этого уже больше месяца тихо

Проверь штатным виндовым антивирусом - найдёт ещё столько же. А Доктор Веб тебя тогда вообще завалит. Если даже Клямавь чего-то у тебя находит, значит ты рассадник ботнета в четвёртом поколении уже :)

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

46. "Выпуск свободного антивирусного пакета ClamAV 0.99"  –1 +/
Сообщение от Аноним (??) on 02-Дек-15, 19:54 
я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или как там его и 127.0.0.1 localhost то бишь, ибо чето с

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
#LocalSocket /tmp/clamd.socket

раскоментированным не работает. пишет что нигде не слушает и выходит.

получилось в общем так:

# TCP port address.
# Default: no
TCPSocket 3310

# TCP address.
# By default we bind to INADDR_ANY, probably not wise.
# Enable the following to provide some degree of protection
# from the outside world. This option can be specified multiple
# times if you want to listen on multiple IPs. IPv6 is now supported.
# Default: no
TCPAddr 127.0.0.1

затем он запускается, плавно заливает в память 310+Мбайт баз и сидит на данном интерфейсе вежливо попросив windows firewall открыть для него правило, это если listen all без 127.0.0.1

и что дальше с ним делать? везде документация по clamwin но это не то и там его можно было запускать как сервис clamd --install, НО! этот клам не вин, а официальная сборка и на ней оно так не работает, т.е. выходит локально на винде я его не запущу, т.к. нет никаких unix socket'ов, выходит только TCPSocket и желательно локальный.....

Вопрос, что дальше? он будет автоматически пахать и сканировать или надо еще какие то телодвижения и коннектится к этому сокету открытому 3310 на 127.0.0.1?? В общем как им пользоваться? Ставил из MSI архива под форточку. Под линукс я его юзал и оставил as is + freshclam + unofficial signatures.

Подскажите кто знает и имел опыт использования под windows.

конфиги использовал стандартные, только закоментил:
# Comment or remove the line below.
# Example

ну и раскоментил TCP сокет и адрес.



Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +2 +/
Сообщение от Михрютка (ok) on 02-Дек-15, 21:45 
> я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил
> базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или
> как там его и 127.0.0.1 localhost то бишь, ибо чето с
> # Path to a local socket file the daemon will listen on.
> # Default: disabled (must be specified by a user)
> #LocalSocket /tmp/clamd.socket
> раскоментированным не работает. пишет что нигде не слушает и выходит.

вот здесь следует указать

LocalSocket %TEMP%\clamd.socket

если не работает предварительно выполните команду

echo off > %TEMP%\clamd.socket

и проверьте наличие сокета командой

dir %TEMP%\clamd.socket

также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права на запись и чтение в этот сокет, щелкнув правой кнопкой мыши по файлу и выбрав пункт "Свойства"

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

55. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 03-Дек-15, 14:08 
спасибо!
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 03-Дек-15, 14:13 
>[оверквотинг удален]
>> раскоментированным не работает. пишет что нигде не слушает и выходит.
> вот здесь следует указать
> LocalSocket %TEMP%\clamd.socket
> если не работает предварительно выполните команду
> echo off > %TEMP%\clamd.socket
> и проверьте наличие сокета командой
> dir %TEMP%\clamd.socket
> также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права
> на запись и чтение в этот сокет, щелкнув правой кнопкой мыши
> по файлу и выбрав пункт "Свойства"

c:\Program Files\ClamAV-x64>clamd
ERROR: Not listening on any interfaces

это если написать так как Вы сказали, но закомментировать TCPSocket'ы ч.я.д.н.к?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +3 +/
Сообщение от Аноним (??) on 03-Дек-15, 13:07 
> я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или как там его и 127.0.0.1 localhost то бишь, ибо чето с

Процедура запуска спо-антивуруса под виндой инициирована...
Error: Нигроконшоль не обнаружена
Error: Не удаётся инициировать устройство "Автоген"
Error: Точка входа "Жо^" не была создана
Error: Целевое устройство "Гланды" недоступно
До взрыва осталось 3.. 2.. 1..

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

47. "Выпуск свободного антивирусного пакета ClamAV 0.99"  –2 +/
Сообщение от Аноним (??) on 02-Дек-15, 19:59 
запускал под админом, но он висит в консоли....как бы его детачнуть оттуда или проще автораном О_О? подскажите доки на эту версию прожки под виндовые бинарники, не нашел официальных доков типа how to где бы разжевали все от и до ;).....манов нет особо....ну те влом ставить cygwin, virtualbox (linux), или как его msys...

есть инет, в принципе я могу почитать ман по кламд, но хотелось бы от опытного человека услышать как можно юзать этот локалхостовский тср сокет ;) или его можно оставить запущенным так и забыть и он сам будет работать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Аноним (??) on 03-Дек-15, 21:36 
поругалось на пдфки с курсеровыми дипломами
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от Онаним on 05-Дек-15, 21:37 
> "/Program Files/ClamAV" или /Program Files/ClamAV-x64"

А смысл, если на 64-битных виндах и так две раздельные директории Program Files?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Выпуск свободного антивирусного пакета ClamAV 0.99"  +/
Сообщение от DeepForest email(ok) on 05-Дек-15, 22:43 
Поправте если не прав.
ClamAV это движок.
Где его используют? Сервера в Линукс? Ладно.
Едиственный рабочий десктопный продукт на этом движке Immunet.
Даже то же ClamWin не имеет риалтаймового антивирусного монитора.
Что у нас есть, антивирусный движок для серверов и все?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру