我想合并 clamAV python 和 YARA 规则。目标是按需扫描我制定的 YARA 规则。我写了这个简单的脚本并且工作得很好
import pyclamd
cd=pyclamd.ClamdAgnostic()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf')
if x is False:
print ("no ")
else :
print ("Yes")
有没有办法使用 YARA 规则但通过 pyclamd 扫描相同的 .pdf 文件?
我想出答案。似乎 ClamAV 可以读取 *.yara 文件并在现有的病毒库中进行搜索。解决方法是在 /var/lib/clamav 目录下放一个 yara 规则。代码需要稍作修改才能重新加载 ClamdAgnostic() 和瞧。
import pyclamd
cd=pyclamd.ClamdAgnostic()
cd.reload()
x=cd.scan_file('/home/john/Desktop/workSpace/yara/2.pdf)
print (x)
如果该规则为真,那么您将看到使用该规则的打印输出
{'/home/john/Desktop/workSpace/yara/2.pdf': ('FOUND', 'YARA.testFor2.UNOFFICIAL')}
否则输出将为 Null