سبق وأن تحدثنا عن كيفية إضافة تعريف فيروسات من قاعدة بيانات برنامج مضادات الفيروسات القوي ClamAV.

سأتكلم اليوم عن تعامل البرنامج بعض ثلاث أنواع من الملفات الخاصة.

هذه الأنواع هي:

  • ملفات HTML

يأتي برنامج ClamAV مع أداة sigtool التي سبق وتحدثنا عنها تحوي هذه الأداة ميزةً خاصة لتحليل ملفات HTML وإعادة بنائها إلى شكلها الأساسي والبدائي والذي يساعدك بدوره على تحليل استغلالات الثغرات في صفحات الـHTML

بتطبيق الخيار على صفحة HTML

$sigtool --html-normalise index.html

تقوم الأداة بإنشاء ملفات:

  • nocomment.html وفي هذا الملف يتم حذف المسافات الزائدة والتعليقات وتكون الكتابة كلها بالحرف الصغير.
  • notags.html وفي هذا الملف كالملف السابق لكن يتم حذف وسوم HTML كاملةً فيصبح ملف نصي عادي

وتقوم الأداة تلقائياً بفك ترميز رموز المحارف الخاصة مثل &#1o2;

سيكون تعريف الفيروس الذي تكتبه موجهاً نحو ملف من الملفات التي أنشأت لتجنب أي تحذير غير صحيح استخدم الصيغة الموسعة التي ذكرتها في المقال السابق، واستخدام نوع ملف  رقم 3.

  • الملفات النصية

كما في ملفات HTML يقوم البرنامج بتعديل الملفات النصية بتحويل المحارف إلى محارف صغيرة جميعها وحذف المسافات الزائدة ومحارف التحكم قبل البدء بالمسح.

نستخدم الوسيط --leave-temps.

مثال:

$clamscan --tempdir . --leave-temps

وسنجد في المجلد الحالي اسم ملف شبيهاً بـ [clamav-7de45fde8b6b82cb0abaacd89c6028c0.00000070.clamtmp] ويكون هذا هو الملف المعدل. نقوم بعد ذلك بكتابة تعريف له باستخدام الصيغة الموسعة نوع رقم 7.

  • الملفات الثنائية أو التنفيذية المضغوطة

عند البحث عن ملفات ثنائية مضغوطة ومدعومة من ClamAV مثل UPX و FSG و Petite فيمكنك فك الملف عن طريق:

$clamscan --debug --tempdir . --leave-temps

وسيكون الخرج مشابه لـ

LibClamAV debug: UPX/FSG/MEW: empty section found - assuming compression
LibClamAV debug: FSG: found old EP @119e0
LibClamAV debug: FSG: Unpacked and rebuilt executable saved in
./clamav-f592b20f9329ac1c91f0e12137bcce6c.clamtmp

عندها يكون الملف [clamav-f592b20f9329ac1c91f0e12137bcce6c.clamtmp] هو الملف المطلوب وننشأ التعريف باستخدام الصيغة الموسعة نوع رقم 1.

أو بإمكانك فك الضغط بواسطة البرنامج المضغوط به ثم عمل التعريف لهذا الملف.