Clam Anti Virus. Wallas Henrique Sousa dos Santos. Supervisão: Denivaldo Lopes. Fevereiro /

Transcrição

1 Clam Anti Virus Wallas Henrique Sousa dos Santos Supervisão: Denivaldo Lopes Fevereiro /

2 O que é o ClamAV? Características. Requisitos Daemon Filtro de Atualização Banco de Dados LibClamAV Conclusão Referências Tópicos a serem abordados 2

3 1. O que é o ClamAV? ClamAV é um antí-virus desenvolvida para sistemas UNIX, designado para ser usados em servidores. Possui: Um flexível e escalável Multi-thread Daemon. Scanner por linha de comando Ferramentas para atualização automática do banco de dados. 3

4 2. Características Licença GPL 2 Suporta on-access scanning(linux, FreeBSD) Detecta cerca de ameças Suporta quase todos os tipos de formatos de e- mails. Suporta arquivos compressados(zip,rar,tar,gzip). Suporta formatos como: pdf,html,rtf; 4

5 2. Características Plataformas Suportadas: GNU/Linux Solaris FreeBSD OpenBSD Mac OS X 5

6 Basicamente: zlib e zlib-devel gcc Recomendado: Bzip2 e bzip2-devel GMP (Biblioteca de precisão de aritmética) Check (framework de teste) 3. Requisitos 6

7 4. Daemon Clamd: é o daemon que executa as tarefas do ClamAV É necessário ser inicializado por linha de comando executando clamd. Seu arquivo de configuração é /etc/clamd.conf Funções: Clamscan, clamdscan SCAN, SHUTDOWN,PING, VERSION, RELOAD(em conexão TCP) 7

8 8

9 9

10 10

11 11

12 12

13 13

14 5. Filtro de Clamav-Milter: Um scanner de designado para o sendmail. Sua conexão com o sendmail é dado por: INPUT_MAIL_FILTER( clmilter, S=local:/var/run/clamav/clmilter.so ck,f=, T=S:4m;R:4m ) dnl define( confinput_mail_filters, clmilter ) Adiciona-se essas linhas no arquivo: /etc/mail/sendmail.mc 14

15 6. Atualização Feita através do freshclam Arquivo de configuração /etc/freshclam.conf Pode ser dado como: Interativo: através da linha de comando Daemon: agindo por baixo do sistema Atualização por script: verifica a diferença entre os bancos de dados atual e o último. 15

16 16

17 17

18 7. Banco de Dados Formato CVD(ClamAV Virus Database) Um tarball com um ou mais banco de dados com assinatura digital O Cabeçalho é uma string longa de 512 bytes com dois pontos separando os campos: ClamAV-VDB:build time:version:number of signatures:functionalitylevel required:md5 checksum:digital signature:builder name:build time (sec) 18

19 19

20 20

21 8. LibClamAV Biblioteca que possui funções de antivírus utilizado pelo ClamAV. Linguagem em C. Licença GPL 2 Todos os programas que o usam o libclamav devem incluir o arquivo cabeçalho: #include <clamav.h> 21

22 8. LibClamAV Interface para carregar o banco de dados CVD: const char *cl_retdbdir(void); retorna o diretório default do banco de dados int cl_load(const char *path, struct cl_engine **engine, unsigned int *signo, unsigned int options); carrega o banco de dados do path se o mesmo existi. Retorna 0(CL_SUCCESS) caso tudo ocorra bem, e um valor negativo caso o contrário. 22

23 8. LibClamAV Flags para carregar o banco de dados: CL_DB_STDOPT: StanDard OPTions. Opção padrão. CL_DB_PHISHING: carrega assinaturas de phishings CL_DB_PHISHING_URLS: carrega assinuturas de phishings e carrega arquivos pdb e wdb. CL_DB_PUA: carrega assinaturas de Pontentially Unwated Aplications(PUA). CL_DB_CVDNOTMP: carrega os arquivos CVD sem descompactar em um arquivo temporário. 23

24 8. LibClamAV Depois que o banco de dados foi carregado deve-se preparar a Engine de detecção. int cl_build(struct cl_engine *engine); void cl_free(struct cl_engine *engine); Exemplo: if((ret = cl_build(engine))) { printf("cl_build() error: %s\n", cl_strerror(ret)); cl_free(engine); exit(1); } 24

25 25

26 8. LibClamAV Funções para escanear vírus: int cl_scanfile(const char *filename, const char **virname, unsigned long int *scanned, const struct cl_engine *engine, const struct cl_limits *limits, unsigned int options); int cl_scandesc(int desc, const char **virname, unsigned long int *scanned, const struct cl_engine *engine, const struct cl_limits *limits, unsigned int options); 26

27 8. LibClamAV Estrutura de limite: 27

28 8. LibClamAV Algumas flags para serem passado como parâmetros. CL_SCAN_STDOPT CL_SCAN_RAW CL_SCAN_ARCHIVE CL_SCAN_BLOCKENCRYPTED CL_SCAN_MAIL CL_SCAN_MAILURL CL_SCAN_OLE2 CL_SCAN_PDF CL_SCAN_ALGORITHMIC 28

29 9. Conclusão O ClamAV é uma boa ferramenta opensource para combater vírus e ameaças. Possui vários suportes para rodar em um servidor como filtros de , on-access scan, atualização automática. Tem uma ótima interface por linha de comando, simples, rápida e fácil de ser compreendida. 29

30 10. Referências ClamAV User Manual, c Sourcefire, Inc. c Tomasz Kojm 30