如何为 ClamAV 创建字节签名？

Posted 2023-02-16

【中文标题】如何为 ClamAV 创建字节签名？

【英文标题】：How can I create a byte signature for ClamAV?

【发布时间】：2015-11-19 17:18:54

【问题描述】：

我想从对象文件的 .text 部分中获取一个字节序列并将其转换为签名。我想用这个签名执行 ClamAV 的clamscan 来查找包含相同字节序列的其他目标文件。 使用 objdump 的字节序列如下所示：

此示例的字节序列可能如下所示：

55 48 89 e5 48 83 ec 10 bf 0a 00 00 00 e8 ?? ?? ?? ?? 48 89 45 f8 c9 c3

??占位符。

我没有找到使用 sigtool 的方法。是否有其他工具可以做到这一点，或者我是否必须手动完成？如果是，我必须以哪种形式保存签名（签名数据库中的格式和数据库本身的格式）？

【参考方案1】：

我不得不编写一个脚本来手动完成这项任务。我没有找到 sigtool 可以为我做到这一点的方法。一个脚本通过 objdump 运行并替换了变量字节。我将结果存储在一个数据库中，通过这个数据库，我可以识别哪个库是在二进制模式下使用 clamscan 静态链接的（即使有人去掉了库名称）。