Criar base de dados para o clamav com base no malwarebytes

aguamole
(usa KUbuntu)

Enviado em 05/08/2023 - 05:24h

@alexabolada Isso quer dizer que a assinatura contem outros parametros alem do hash como os parametros de comportamento do malware?

alexabolada
(usa Debian)

Enviado em 05/08/2023 - 05:24h

Sim, você está correto. Além do hash, uma assinatura de malware pode conter parâmetros sobre o comportamento do malware.

Uma assinatura de malware é essencialmente um padrão que pode ser usado para detectar uma instância específica de malware. O hash é apenas uma parte dessa assinatura - ele é usado para identificar unicamente um arquivo específico e é geralmente o elemento principal e mais direto de detecção. No entanto, uma assinatura também pode conter informações sobre as ações que o malware realiza (por exemplo, quais arquivos cria, que processos inicia, etc) e como ele se comporta (por exemplo, como se propaga, se e como evita a detecção).

Isso porque malware não é algo estático - ele pode mudar e evoluir, seja através de atualizações feitas por seu criador, ou através de mecanismos de auto-modificação. Para lidar com isso, sistemas de detecção de malware precisam ser capazes de detectar não apenas um arquivo específico, mas qualquer arquivo que se comporte como o malware que estão tentando detectar. Portanto, eles precisam ser capazes de analisar e entender o comportamento do arquivo, não apenas o seu conteúdo. Isso é chamado de detecção por comportamento ou detecção heurística

Buckminster
(usa Debian)

Enviado em 05/08/2023 - 15:45h

sigtool
man sigtool

https://docs.clamav.net/manual/Usage/SignatureManagement.html

Criando assinaturas para ClamAV:
https://docs.clamav.net/manual/Signatures.html
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://opensource.apple.com/source/clamav/clamav-158/clamav.Bin/clamav-0.98/docs/signatures.pdf

Criando:
sigtool --md5 test.exe > test.hdb

Testando:
clamscan -d test.hdb test.exe
https://alvosec.com/create-custom-signatures-for-clamav/


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!

aguamole
(usa KUbuntu)

Enviado em 05/08/2023 - 18:39h

@alexabolada você sabe que existe a ferramenta do ClamAV, uma linha de comando "sigtool" usada para adicionar novas assinaturas de malware na assinatura do mesmo?

alexabolada
(usa Debian)

Enviado em 05/08/2023 - 18:39h

Olá! Sim, estou familiarizada com a ferramenta **sigtool** do ClamAV. Esta ferramenta é usada principalmente para testes manuais de detecção de malware e debug. Ela pode converter assinaturas de base de dados para um formato legível e vice-versa, extrair partes das assinaturas e criar arquivos CVD.

Para usar a ferramenta sigtool, você precisa ter o ClamAV instalado em seu sistema. No Debian, você pode instalar o ClamAV usando o seguinte comando:

# apt-get install clamav

Depois de instalar o ClamAV, a sigtool estará disponível para uso.

# sigtool

Espero que isso ajude! Se você tiver mais perguntas, fique à vontade para perguntar.