Dove ClamAV ottiene le sue firme virali?

14

Vedo che ClamAV ha file di definizione dei virus che sono per lo più codici hash nei formati md5, sha1 e sha256, che guardano l'intero file o quelle che sono chiamate sezioni PE di un file eseguibile. Naturalmente, ci sono variazioni al di fuori di ciò che cerca altre cose. Tuttavia, gli hash costituiscono la maggior parte dei megabyte delle definizioni dei virus.

Quindi come fa ClamAV a ottenere questi? Esistono fonti gratuite sul Web da cui possiamo estrarle per creare il nostro software antivirus? (Io sono uno sviluppatore C ++, vedi.)

EDIT: Chiarire di più - Sicuramente ClamAV non ha un laboratorio dove trovano malware e catalogano queste firme di virus hash, vero? Sicuramente usano qualche organizzazione o azienda nazionale o internazionale che sta già facendo questo?

    
posta Volomike 11.12.2015 - 05:23
fonte

3 risposte

13

ClamAV appartiene a Cisco e al suo gruppo Talos. Cisco ha acquisito Sourcefire, i produttori di Snort e ClamAV alla fine del 2013.

link

link
link

© 2004 - 2015 Cisco and/or its affiliates. All rights reserved.

Sourcefire appartiene anche a Cisco: link

Le firme sono sul server di ClamAV

link

Where can I manually download virus definition files from?

You can get the virus definitions without clamwin via http:// 

http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd

Then copy the downloaded main.cvd and daily.cvd to your database location which is specified in the ClamWin Preferences, File Locations tab.

The default database location is: "C:Documents and SettingsAll Users.clamwindb"

Molti grandi contributori sono i venditori di anvitirus e le società di sicurezza: link

Contributors

ClamAV Team

Joel Esler
Douglas Goddard
Nigel Houghton
Tom Judge
Kevin Lin
Steve Morgan
Matt Olney
Dave Raynor
Samir Sapra
Ryan Steinmetz
Dave Suffling
Matt Watchinkski
Alain Zidouemba

ClamAV QA

Erin Germ
Dragos Malene
Vijay Mistry
Matt Donnan

Talos Group

Andrea Allievi
Jonathan Arneson
Ben Baker
Nathan Benson
Andrew Blunk
Kevin Brooks
Jaime Filson
Paul Frank
Erick Galinkin
Douglas Goddard
Richard Harman, Jr.
Nicholas Herbert
Shaun Hurley
Richard Johnson
Alex Kambis
Brittany Lawler
Justin Lindsey
Chris Marczewski
Christopher Marshall
Nick Mavis
Christopher McBee
David McDaniel
Alex McDonnell
Kevin Miklavcic
Patrick Mullen
Marcin Noga
Katie Nolan
Carlos Pacho
Ryan Pentney
Nick Randolph
Marcos Rodriguez
Geoff Serrao
Brandon Stultz
Nick Suan
Emmanuel Tacheau
Melissa Taylor
Angel Villegas
Andy Walker
Alicia Willett
Yves Younan

Contributors

Aeriana, Andreas Cadhalpun, Mike Cathey, Michael Cichosz, Diego d'Ambra, Arnaud Jacques, Tomasz Papszun, Bill Parker, Robert Scroggins, Sven Strickroth, Trog, Steve Basford, Dennis de Messemacker, Jason Englander, Thomas Lamy, Thomas Masden, Boguslaw Brandys, Anthony Havé, Andreas Faust, Sebastian Andrzej Siewior

ClamAV Emeritus

Luca Gibelli, Török Edvin, Tomasz Kojm, Alberto Wu, Nigel Horne

Ogni aggiornamento contiene informazioni sul mittente, alcuni menzionano Virus Total, VRT Sandbox e altri.

Generalmente venditori di antivirus, ricercatori della sicurezza e collaboratori collaborano e condividono campioni.

link
link

Chiunque può contribuire e c'è anche una mailing list per le firme dei contributi della community.

link
link

    
risposta data 11.12.2015 - 07:32
fonte
1

Gli utenti inviano campioni di file infetti a Clam AV che vengono elaborati dal personale Cisco / Sourcefire che lavora al progetto Clam AV. Virus Total e altre fonti del settore AV condividono anche file infetti con il progetto Clam AV. Infine, le persone di Cisco / sourcefile condividono con Clam AV ciò che hanno appreso alla fine.

    
risposta data 06.06.2016 - 20:42
fonte
-2

Bene per le firme nella mia organizzazione, sono generate utilizzando campioni ricevuti sui nostri normali server di posta elettronica e anche da campioni inviati. Vengono quindi generate firme e firme di hash.

    
risposta data 12.12.2015 - 11:21
fonte

Leggi altre domande sui tag