我正在尝试为我拥有的恶意软件数据集生成clamav签名。
最初,我认识到某些字符串在一类恶意软件中很突出,因此,将其考虑在内,并使用以下方法生成了一个ldb签名。
签名的名称,引擎版本,目标为0。我们还具有'x'个子签名,其中x是100,每个逻辑或。所有字符串都转换为十六进制表示形式。下面是生成的示例。
ramnit.Signature; Engine:0-500,Target:0; 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99; 636f6e6e6; 686b65795; 363530393; 52656c656; 633a5c5c7; 436f6e766; 313937313; 6c6f63616; 576169744; 363337363; 686b65795; 353238363; 736c65657; 633a5c5c7; 636f676 ; 737663686; 363030363; 633a5c5c7; 313935353; 633a5c5c7; 636f6e6e6; 6765746d6; 536574437; 313933393; 686b65795; 633a5c5c7; 323232363; 353537363; 686b65795; 686b65795; 686b65795; 686b65795; 65b686565c5637c36373637a5e6c3c6a6a6e6c5c6a6e6c6c6a6e6c5c5c5c5c5c5c5c5c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c6c5c ; 686b65795; 53656e644; 6b7975666; 6c6f63616; 494d41474; 686b65795; 686b65795; 686b65795; 696573716; 737663686; 313237303; 363033353; 363039383; 686b65795; 686b65795; 633a5c5c7; 686b65795; 333139313; 686b65795; 633b679579 5; 496e74657; 686b65795; 686b65795; 686b65795; 686b65795; 3f7365745; 633a5c5c7; 476574537; 527063426; 686b65795; 686b65795; 566572517; 353630353; 686b65795; 4f70656e5; 353138343; 4c6f6f6b7; 633a6756765c63671393676676567636376763676363767636765637376376 6f6c65333; 5065656b4; 343230353; 536574576; 5c5c3f3f5; 5265674f7; 633a5c5c7; 686b65795; 686b65795
现在,问题在于如果存在<= 65个子签名,那么一切正常,但是,如果它们增加了,则会导致以下错误。
LibClamAV Error: cli_loadldb: The number of subsignatures (== 65) doesn't match the IDs in the logical expression (== 100)
LibClamAV Error: Problem parsing database at line 1
LibClamAV Error: Can't load ramnit.ldb: Malformed database
ERROR: Malformed database
ldb签名是否仅限于65个条件?如果不是,那么是什么原因导致该问题以及如何解决?
答案 0 :(得分:0)
为什么在地球上有这么多重复的子签名?一旦删除所有这些规则,您基本上将规则减半。您甚至可以考虑制作此规则的多个版本,并将每个规则细分为10-20个子签名。