我是 Clamav 的新手。我已经使用clamav-unofficial-sigs解码了 clamav 签名 ,并将其作为解码签名。
signature decodes to:
???*CallByName?VbMethod??*RndR?
尝试使用 sigtool 解码时没有输出。该文档,其签名标记为病毒是一个文档文件有宏,但我认为该文档是干净的。在宏中进行一些搜索,我发现它有一行
CallByName myEvent, "do_work", VbMethod, enableParam1, enableParam2
我不确定这个签名是什么意思或它匹配了什么。
问题是:-
如何确定 clamav 签名匹配什么?
签名传达了什么含义(它们是正则表达式还是其他匹配序列)?
- clamav 是否进行动态分析?
谢谢