安装:
安装后查看版本信息 使用-h查看帮助 简单的扫描一个文件如图报错时 是因为此时需要有可用的病毒库文件,同时用户和组的权限也需要设定 下图先查看组名,然后设置用户和组权限 接下来需要更新病毒库文件,如下报错是因为clam守护进程的原因 先终结再启动更新即可 查看进程
这样子更新可能比较慢,我们也可以使用下面的命令直接下载
实验室环境没有联网,已经准备好着两个文件,放在指定路径下即可
解压我们的样本 密码为infected 使用clamav进行扫描 指定扫描的目录为样本所在的test文件夹,-r选项表示包含子目录,一般用于深度查杀,在下图的例子中加不加都可以 从结果可以看出,扫描到样本为windows下的木马文件,而压缩包文件是安全的 还可以将扫描日志保存供之后的分析使用,加上log选项即可 查看扫描日志
还能加上remove选项,用于将扫描到的病毒文件自动移除 回到test文件夹可以看到病毒文件已经被移除了
也可以使用图形化界面 安装完毕后输入clamtk即可启动 Settings设置要扫描选项 Whitelist白名单设置在扫描时忽略的文件夹 Network中可以设置代理 Schedule中可以设置定时任务,包括定时扫描,定时更新病毒库 History可以查看查杀的记录 Quarantine是隔离区,被查到可能是病毒的文件都会被隔离在这里,可以选择删除文件或者恢复 第三行是更新选项,一般为了提升杀毒的效率建议经常更新 其实最有用的是第四行,就是分析功能 可以选择扫描一个文件 选中点击ok即可 提示没有风险 或者扫描一个目录,也是同样的方法 这样子的扫描不够精确,我们如果怀疑某个文件确实是恶意文件,那么可以使用analysis功能 选中一个文件 点击open 然后点击放大镜 很快就可以在results选项卡中看到结果 左边是判定文件不安全的安全公司,中间是日期,右边是判定结果,从结果中可以看到一致判定为windows下的木马文件 这一功能非常强大,几乎汇聚了全球安全产商的力量,在上面的分析结果滚动下可以看到国内的瑞星、360、金山、百度、腾讯等引擎都在内
之后可以将结果保存供后续分析
官方文档 https://www.clamav.net/documents/usage