问题标签 [clamav]

我想在 Linux EC2 上使用 Clam AV 以编程方式扫描图像。我有以下配置。

使用它并在 /usr/bin/clamscan 和 /usr/bin/clamdscan 中存在二进制文件后

出现以下错误：消息：“ClamAV 初始化失败错误：没有有效和活动的病毒扫描二进制文件处于活动状态且可用，并且未提供主机/套接字选项！ ”

所以我一直在尝试使用 clamav 来扫描文件，但它还clamdscan没有为我工作。

我的设置如下：

brew install clamav

然后我将 clamd.conf.sample 和 freshclam.conf.sample 分别重命名为 clamd.conf 和 freshclam.conf。

接下来我评论Example了（大约第 8 行）对于 clamd.conf 我在 TCP 端口地址 => TCPSocket 3310 中评论

之后我跑去freshclam更新clamav

现在我运行clamd（并允许传入连接）来启动守护程序服务，我可以看到它正在运行：

如果我尝试使用clamdscan它扫描文件错误：

另外我想知道测试clamav的最佳方法是什么。我有一个带有病毒签名的 eicar.rtf，但它也通过了clamscan（但我得到clamdscan与 sample.pdf 相同的错误）：

例如，当我尝试将 eicar.rtf 附加到松弛消息时，eicar.rtf 确实会触发其他 AV

在单独的注释中，当我尝试创建 file.txt 并手动传递签名时，它不允许我保存文件 - 那么生成文件（比如 .rtf 以外）并对其进行测试的最佳方法是什么clamdscan？(MacOs 大苏尔)

最后是我的日志（位于 /tmp/clamd.log）：

一旦所有这些工作，我将在rails中的clamby gem的上下文中使用它

我已经在 Termux for Android 中本地构建了 ClamAV。但是我发现，使用默认的 ClamAV 病毒签名定义，它无法识别测试 apk 文件中的 Android 病毒。我想提高准确性。

我在https://stackoverflow.com/questions/54533862/clamav-singnature-list-for-android-apk的讨论中看到，可以将 Comodo 防病毒 cav 数据库导入 ClamAV，以提高准确性。因此，可以在https://www.comodo.com/home/internet-security/updates/vdp/database.php下载 base.cav Comodo 数据库。

但是我找不到任何地方如何将此 cav 数据库导入 ClamAV，或将其转换为 ClamAV 使用。我试过了

然而，这表示身份不明的数据库。

我玩过，sigtool -i base.cav但它也没有给出任何东西。我在网上或 ClamAV 文档中找不到任何关于如何使用或将 Comodo 数据库导入 ClamAV 的内容。

关于如何使用此文件的任何指示？

我已经使用 ClamAV 很长一段时间没有任何问题，但是就在本周，每当我尝试更新病毒定义数据库时，我开始收到以下错误：

但是，当我尝试更新它时，我得到以下响应：

不确定为什么会出现这个问题以及我可以做些什么来解决它，因为我尝试按照 https://www.clamav.net/documents/upgrading-clamav上提供的步骤更新我的 clamAV 版本，但这不是很好也有帮助。

我对 Linux 环境有点陌生，感觉在某个地方错过了重要的一步。提前致谢。

我正在尝试配置 ClamAV 以检测上传到服务器的文件中的病毒和恶意软件。我有一些测试文件被 Avast 检测为感染了 SNH-gen [Phish]。但是，ClamAV 没有检测到相同的文件。我还尝试通过 ExtremeShok 非官方签名向 ClamAV 添加第 3 方签名：

https://github.com/extremeshok/clamav-unofficial-sigs

尽管如此，仍然没有检测到网络钓鱼文件。Avast 检测到的文件是编码为类似于 Microsoft 登录屏幕的 HTML 文件。任何人都可以推荐可以检测到此类文件的 3rd 方签名吗？

否则，谁能推荐另一个我可以在服务器上运行的更强大的 AV 扫描仪（最好是免费的）？Avast 有一个 Linux 服务器产品，但每年 259 美元。如果我找不到任何其他选择，可能会走那条路。

我正在使用 clamd 使用 INSTREAM 进行大数据扫描（数据不能作为我可以发送到 clamd 的文件提供）。如果我只发送一个带有 EICAR 的 INSTREAM 块，则可以正确检测到它，但如果我发送几个块加上 EICAR 字符串，则不会检测到它。

例子：

...加上 0 长度的块来完成..

在这种情况下，clamd 会说：instream(local): Win.Test.EICAR_HDB-1(44d88612fea8a8f36de82e1278abb02f:68) FOUND

但是，如果我在此之前或之后发送任何块，它不会被检测到。例子：

...加上 0 长度的块来完成..

在这种情况下，没有检测到，clamd 说： instream(local): OK

这有什么意义吗？我将不胜感激。

非常感谢！

我正在尝试构建一个在 squid 代理上运行的 ClamAV 恶意软件扫描程序 docker 映像，我得到了

!NotifyClamd：无法在 127.0.0.1:3310 上连接到 clamd：连接被拒绝和错误：在 TCPConnectWrap.afterConnect [as oncomplete] 处连接 ECONNREFUSED 127.0.0.1:3310 (node:net:1158:16) { errno: -111 ，代码：'ECONNREFUSED'，系统调用：'connect'，地址：'127.0.0.1'，端口：3310 }

停止 ClamAV 守护进程：clamd. 在 /var/lib/clamav 中找不到 Clamav 签名...失败！请使用freshclam 检索它们...失败！然后运行'invoke-rc.d clamav-daemon start' ...失败！

这是我的 dockerfile ：

这是 bootstrap.sh ：

当我 docker 运行它或将它部署在 GKE 集群上时它失败，所需的所有 ips 都在 squid 上列入白名单