In realtà io creo le firme dalle librerie, per scansionare gli eseguibili per essere collegati staticamente a quella libreria. Il mio approccio attuale è quello di leggere la sezione .text e generare una sequenza di byte per ogni funzione con segnaposti.
Per piccoli passi di versione della libreria ci sono molti falsi positivi con il clamscan di ClamAV.
C'è un approccio migliore, per generare firme per le librerie e rilevare successivamente con ClamAV?
Sembra che ClamAV supporti sia YARA e OpenIOC . Questi due metodi di scrittura delle segnature ti permetteranno di assumere un aspetto molto più specifico piuttosto che una semplice sequenza di byte. Dai un'occhiata a questo documento SANS per un po 'di metodologia .
Se vuoi solo una rapida idea di cosa possono trarre questi due framework, consulta la documentazione di YARA e IOC . Entrambe queste strutture hanno molta più documentazione su come scrivere buone firme che saranno un buon materiale di lettura.
Uno dei modi per sviluppare le firme sarebbe quello di usare l'hash MD5 del file usando il SIGTOOL fornito da ClamAV, ma qui il vincolo corrisponderebbe o sparerebbe solo quando l'hash corrisponde alla firma.
Possiamo anche dividere la sezione esadecimale e di intestazione in due file separati per creare l'hash MD5 per loro.