1. 使用ClamAV分类
    ClamAV是开源杀毒引擎,它的应用范围包括突发事件响应、取证、常规恶意软件保护以及恶意软件发现,也可以将ClamAV作为现有的台式机、文件服务器、邮件服务器以及其他需要杀毒扫描软件场景中杀毒扫描软件的补充工具和替代工具。
    ClamAV中有许多内置的扫描功能可用于处理存档文件、打包可执行文件、HTML、邮件以及其他类型的数据,改功能支持直接编写特征码以及扫描大范围的内容,且无需针对每种文件类型写专用的解析程序。另外,ClamAV程序包中还包含libclamav库以及命令行可执行文件接口。
    可以在http://www.clalmav.net/download/sources/获得。
    ClamAV主要的检测数据库包括:
  1. 已知的恶意二进制文件的MD5哈希值
  2. PE(Windows 中可执行文件格式)节的MD5哈希值
  3. 十六进制特征码(shellcode)
  4. 存档元数据特征码
  5. 已知的合法文件的白名单数据库
    二进制特征码(shellcode)的相关介绍:
    http://baike.baidu.com/link?url=BK8WRdUX-v3UhicAngMg3o8XBNv_uU-RWSKxnX0VGloH4iElDejn50CWH4mK7qoH
    http://wenku.baidu.com/link?url=-NQ0qmalsY7uFnBielqrBUl27hCMcXIrGKm6NLul0XBuK19KL3feaKf1jDzxa5guNLd7If2YoFqy_lH7UnPQoRUjYk1g9KEpUNm53ZULcFe
  1. 使用YARA分类
    YARA(http://code.google.com/p/yara-project)是一个特别灵活的恶意软件识别和分类引擎,可以利用YARA创建规则以检测字符串、入侵序列、正则表达式、字节模式等。可以利用命令行模式下的yara工具扫描文件,也可以利用YARA提供的API函数将yara扫描引擎集成到C或python语言编写的工具中。
    YARA允许的最大跳转偏移量是255字节,因此当ClamAV特征码转成YARA特征是,需要将特征拆分成几个AND语句连接。YARA和PEiD可识别加壳文件,PEiD是Windows系统中用于检测加壳文件的一个图形用户界面工具,特征码以纯文本文件方式存储,可以使用自己的工具扩展和/或解析新的特征码。
    下面场景可以使用YARA特征码:
  1. 使用常见的密码创建规则文件,从而可以捕获试图使用暴力破解用户账户和登陆的恶意软件。
  2. 使用登录字符串、URL字段以及银行以及银行域名等字符串创建规则文件,从而可以捕获以金融机构为目标的恶意软件。
  3. 使用杀毒进程、杀毒服务以及杀毒网站域名等字符串创建规则文件,从而可以捕获试图终止或禁用杀毒产品的恶意软件。
  1. 文件类型识别方法
  1. Linux中file命令可确定文件类型,即使文件删除了扩展名,仍可以确定文件是否为可执行文件等。
  2. Python中可以使用python-magic程序包确定文件具体类型。
  3. 也可编写YARA特征码用以检测文件类型。
  1. 哈希算法
  1. Linux中可以使用md5sum、sha1sum、sha256sum以及sha512sum等命令生成文件的哈希值。
  2. Python中可以使用内置的hashlib模块或者PyCrypto模块生成哈希值。
    模糊哈希用户确定文件之间的相似度。可使用ssdeep命令。
  1. 恶意PE文件
    Windows中的可执行文件必须遵循PE/COFF(Protable Executable/Common Objeck File Format)规范。该规范适用范围包括但不限于控制台程序(console)和图形用户界面(GUI)应用程序(.exe)、动态链接库(.dll)、内核驱动程序(.sys)、Activex控件(.ocx)。
    两篇PE的文章:
    http://msdn.microsoft.com/en-us/magazine/ms809762.aspx
    http://msdn.microsoft.com/en-us/magazine/cc301805.aspx
    可基于PE的头中的值来检查可疑文件的方法。

《网络安全从零到精通全套学习大礼包》

96节从入门到精通的全套视频教程免费领取

如果你也想通过学网络安全技术去帮助就业和转行,我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。

请添加图片描述

网络安全学习路线图

想要学习 网络安全,作为新手一定要先按照路线图学习方向不对,努力白费。对于从来没有接触过网络安全的同学,我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线,大家跟着这个路线图学习准没错。

请添加图片描述

配套实战项目/源码

所有视频教程所涉及的实战项目和项目源码

在这里插入图片描述

学习电子书籍

学习网络安全必看的书籍和文章的PDF,市面上网络安全书籍确实太多了,这些是我精选出来的

在这里插入图片描述

面试真题/经验

请添加图片描述

以上资料如何领取?

img

文章来自网上,侵权请联系博主

# python # java # c语言
Logo
AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐

cover

OpenClaw × 88API:不用注册 Anthropic,5 分钟让 AI Agent 接入 Claude 4.6(2026 完整教程)

avatar AtomGit开源社区

Java高频面试:Java内存管理与垃圾回收机制

本文系统解析了Java内存管理与垃圾回收机制。首先剖析了Java对象头的组成:MarkWord存储运行时数据,类型指针指向类元数据,数组对象额外包含长度信息。其次详细介绍了三大垃圾收集算法:标记-清除、标记-复制、标记-整理的特点与适用场景,重点分析了分代回收策略在新生代和老年代的不同实现。然后深入讲解了CMS和G1两大垃圾收集器的工作原理、回收流程及优缺点对比,CMS通过并发标记实现低延迟但存在

avatar AtomGit开源社区

深度学习与神经网络知识点

这份深度学习与神经网络的知识点汇总,涵盖了从基础感知机到先进生成模型的核心架构、训练优化及工程实践。

avatar AtomGit开源社区