我正在尝试为我拥有的恶意软件数据集生成 clamav 签名。
最初,我已经识别出一些在一类恶意软件中很突出的字符串,因此,考虑了这些字符串,并使用以下方法生成了一个 ldb 签名。
签名的名称,引擎版本,目标为 0。我们还有“x”个子签名,这里 x 是 100,每个都有逻辑或。所有字符串都转换为十六进制表示。下面是生成的示例。
ramnit.Signature;引擎:0-500,目标:0;0|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17| 18|19|20|21|22|23|24|25|26|27|28|29|30|31|32|33|34|35|36|37|38|39|40|41|42| 43|44|45|46|47|48|49|50|51|52|53|54|55|56|57|58|59|60|61|62|63|64|65|66|67| 68|69|70|71|72|73|74|75|76|77|78|79|80|81|82|83|84|85|86|87|88|89|90|91|92| 93|94|95|96|97|98|99;636f6e6e6;686b65795;363530393;52656c656;633a5c5c7;436f6e766;313937313;6c6f63616;576169744;363337363;686b65795;353238363;736c65657;633a5c5c7;636f6e6e6;686b65795;633a5c5c7;737663686; 363030363;633a5c5c7;313935353;633a5c5c7;636f6e6e6;6765746d6;536574437;313933393;686b65795;633a5c5c7;323232363;353537363;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;353130363;64656c657;633a5c5c7;633a5c5c7;686b65795; 53656e644;6b7975666;6c6f63616;494d41474;686b65795;686b65795;686b65795;696573716;737663686;313237303;363033353;363039383;686b65795;686b65795;633a5c5c7;686b65795;333139313;686b65795;437265617;686b65795;476574546;353631323;633a5c5c7;686b65795;496e74657;686b65795;686b65795;686b65795;686b65795;3f7365745;633a5c5c7;476574537;527063426;686b65795;686b65795; 566572517;353630353;686b65795;4f70656e5;353138343;4c6f6f6b7;633a5c5c7;476574546;363139393;633a5c5c7;686b65795;353638333;676574707;6f6c65333;5065656b4;343230353;536574576;5c5c3f3f5;5265674f7;633a5c5c7;686b65795;686b657955065656b4;343230353;536574576;5c5c3f3f5;5265674f7;633a5c5c7;686b65795;686b657955065656b4;343230353;536574576;5c5c3f3f5;5265674f7;633a5c5c7;686b65795;686b65795
现在,问题是如果有 <=65 个子签名,那么一切正常,但是,如果它们增加超过此值,则会导致以下错误。
LibClamAV Error: cli_loadldb: The number of subsignatures (== 65) doesn't match the IDs in the logical expression (== 100)
LibClamAV Error: Problem parsing database at line 1
LibClamAV Error: Can't load ramnit.ldb: Malformed database
ERROR: Malformed database
是不是 ldb 签名仅限于 65 个条件?如果不是,是什么原因导致此问题以及如何解决?