تكلمنا سابقاً عن طريقة إضافة فيروس غير موجود في قاعدة بيانات برنامج ClamAV.

لكن ماذا لو حصلنا على إنذار فيروس من البرنامج ونحن متأكدين من سلامة البرنامج (كأن نكون قرأنا الكود أو قمنا ببرمجته بأنفسنا).

حينها لابد لنا أن نستدرك الملف على فريق إضافة الفيروسات في البرنامج وذلك بعدة طريق.

الطريقة الأولى وهي طريقة إخبار الفريق عن طريق صفحة الإرسال.

الطريقة الثانية وهي حذف التعريف من قاعدة البيانات الأصلية:

وهي كالتالي:

نحتاج أولاً إلى أن نستخرج محتويات قاعدة البيانات main.cvd و daily.cvd وذلك عن طريق الأمر التالي:

$sigtool -u main.cvd

وسيتم فكهما في المجلد الذي تم تشغيل الأمر فيه.

الآن نبحث عن التعريف في هذه الملفات بواسطة بحث داخل الملفات مثل grep

عندما نجد التعريف نقوم بحذفة بواسطة أي محرر نصوص وبعد ذلك نعيد تركيب قاعدة البيانات إلى شكلها الأصلي (CVD) بواسطة الأمر:

$sigtool --server [Server Name] -b main.cvd

يجب أن يكون الـServer Name صحيحاً حتى يتم استيراد الـmain.cld بشكل صحيح وإلا لن يتم البناء بشكل صحيح

وسيطلب منك إدخال بعض المعلومات مثل:

Version number: 52
Total sigs: 545036
New sigs: 545036
Functionality level: 42
Builder name: aborazmeh

ثم نقوم بنقل هذا الملف إلى مسار قاعدة البيانات الأصلي وسيبحث البرنامج بواسطة الملفات الجديدة المعدلة.

لكن هذه الطريقة غير مستحسنة لأن أي تغيير في قاعدة البيانات من المخدم سيعيد ما حذفته.

الطريقة الثالثة وهي عمل قائمة بالملفات ليتجنبها البرنامج(Whilelist):

طريقة عمل ذلك هي وضع المعلومات التي تريد من ClamAV أن يتجنبها عن ملف معين برماز MD5 في ملف من نوع .fp ثم دمجه مع قاعدة البيانات الأصلية التي من نوع CVD.

أو إذا أردناه أن يتجنب بعض المعلومات الموجودة في قاعدة البيانات الأصلية main.cvd وبدون حذفها فيمكننا ذلك عن طريق وضع ما سأشير إليه في ملف اسمه daily.ign ووضع الملف في مسار قاعدة البيانات أو ملف محلي باسم local.ign

الملف يحوي الصيغة التالية:

db_name:line_number:signature_name

شرح الصيغة:

أولاً: اسم قاعدة البيانات.

ثانياً: رقم السطر المطلوب تجاهل بعض من البيانات التي فيه.

ثالثاً: اسم التعريف.

وبذلك سيتم تجاهل الملف هذا بشكل صحيح.