Антивирусный сканер ClamAV.
Антивирусный сканер ClamAV с открытым исходным кодом (GPL) предназначен для обнаружения троянов, вирусов, вредоносных программ и других угроз. Это де-факто стандарт для проверки сообщений шлюза. Он обеспечивает высокую производительность мульти- сканирования , утилиты командной строки для сканирования по требованию файлов и интеллектуальный инструмент для автоматического обновления сигнатур.
Основная библиотека ClamAV предоставляет многочисленные форматы механизмов обнаружения, распаковка файлов , работа с архивами, а также подпись на нескольких языках для обнаружения угроз. Основная библиотека ClamAV используется в Immunet 3.0, на базе ClamAV, который является быстрым, полнофункциональным рабочим А.В. решением для Windows.
Для тех, кто не знает, ClamAV это разрабатанный сообществом, открытый антивирусный сканер. ClamAV был разработан с главной целью обеспечения бесплатного антивирусного сканера, который может быть использован на почтовых серверах для проверки входящей почты: коммерческие антивирусные продукты обычно требуют лицензии на учетную запись пользователя, что делает их слишком дорогими для интернет-провайдеров и многих предприятий.
ClamAV была разработана для Unix / Linux, но, так как он был разработан с использованием инструментов GNU , он был портирован и на другие платформы, включая Windows. Тем не менее, этот инструмент чисто командной строки. Не существует графического интерфейса пользователя. Основные инструменты командной строки антивирусной программы clamscan и антивирусного Clamd , которые работают в фоновом режиме и могут быть вызваны из другого программного обеспечения с помощью сокетов, а также Freshclam который используется для обновления вирусных сигнатур.
ClamAV для Windows.
Для желающих использовать ClamAV под Windows, есть несколько вариантов на выбор. В хронологическом порядке появления (насколько я знаю), то они таковы:
Summit Open Source Development Group [SOSDG] Cygwin порт. Это первый и самый длинный установленный Windows порт. Он опирается на слой совместимости Cygwin переводит вызовы Unix системы в Windows. Это дает большую загрузку, чем родной порт Windows, и требует что бы Cygwin был установлен в корневом каталоге. Производительность оказывается хуже, чем с родным портом Windows. Поддержка со стороны SOSDG сайта очень хорошая. Существует On-Demand Scanner GUI ,который называется ClamWin, что делает использование этого порта проще.
Родной порт Windows Bransoft. Богуслав Brandys из Bransoft разработал родной порт программного ядра ClamAV. Эта разработка была сосредоточена на создании Windows библиотеки DLL, которая может быть вызвана непосредственно из приложения Windows, и работать на любой платформе Windows . Эти библиотеки используются в почтовом сканирования прокси ClamMail, и по требованию сканер ClamLite, и также разработана BranSoft. К сожалению, из-за догматической интерпретации GNU GPL в ClamAV разработчиков, не разрешается использовать эти библиотеки в программном обеспечении, которое также не выпущено под лицензией GNU GPL. Этот порт не был включен в дерево исходных текстов ClamAV. Развитие кажется,несёт спорадический характер, и отстает несколько от текущий «официальной» версии.
Родной порт Windows Gianluigi Tiesi’s . Джанлуиджи Tiesi выпустил родной порт Windows, с использованием Microsoft Visual Studio компилятора. Есть несколько бинарных пакетов в том числе для AMD 64-битных процессоров. Помимо сканера командной строки , порт включает в себя DLL, которые могут быть вызваны другими программами GNU GPL для сканирования отдельных папок, но нет реализации Clamd, поэтому использование не-GPL программного обеспечения не представляется возможным. Очень простой по требованию сканер GUI также доступен.
Официальный родной порт Windows. Найджел Хорн из NJH Software разработал для Windows порт ClamAV, в том числе реализация Clamd, ориентированный на Windows XP и выше, с использованием Microsoft Visual Studio. Этот порт является частью официального дистрибутива исходного кода ClamAV. Из-за архитектурных различий между Unix и их эквивалента для Windows услуг, Clamd не был реализован в виде службы Windows. Тем не менее, он может быть использован в качестве услуги традиционного обхода написания приложений Windows служб, которые контролируют Clamd. NJH Software разрабатывает набор инструментов, которые могут быть использованы для интеграции ClamAV в среду Windows.
Результаты испытаний.
Чтобы получить представление о том, как хорошо ClamAV выступает в качестве общей цели сканера, я провел несколько тестов. Мой качественный отчет о своей текущей деятельности заключается в следующем.
Обнаружения Worm: ClamAV отлично работал при обнаружении почтовых червей, фишинга и других вредоносных программ электронной почты.
В неопределённой природе вирусов: ClamAV работает в среднем при обнаружении в COM, EXE-и макро-вирусов.
Другие вирусы: ClamAV имеет средний уровень обнаружения вирусов, которые не встречаются в неопределённых вирусах.
Полиморфные вирусы: ClamAV довольно беден при обнаружении полиморфных вирусов (. Вирусов, которые используют переменные методы шифрования, чтобы избежать обнаружения простого соответствия подписи) может обнаружить некоторые polymorphics надежно, он обнаруживает лишь небольшой процент от некоторых, в то время как другие антивирусные сканеры не обнаружили их вообще.
Вирусы загрузочного сектора: я не смог проверить обнаружение вирусов загрузочного сектора.
Ложные тревоги: ClamAV иногда дает ложные тревоги, хотя есть и известные коммерческие продукты, которые так же плохо или еще хуже ведут себя в этом отношении.
Очистка: ClamAV не в состоянии чистить файлы (другими словами, удаление вирусов из зараженных файлов.) Это действительно не является недостатком, как и в большинстве случаев лучше удалить зараженный файл и заменить его на новую копию, но для использования в качестве общего назначения антивирусного решения было бы полезно иметь инструмент, который может удалить макрос из документов, так что пользователи не теряют содержание.
Скорость: ClamAV работает медленно, особенно при сканировании больших исполняемых файлов и сжатых файлов. Сканирование может быть значительно снижено при использовании внешнего программного обеспечения для управления сканером и выполнение «Smart Scan», проверяя лишь определенные типы файлов, которые могут быть заражены.
Использование ресурсов: ClamAV умеренно использует память, но использует довольно много процессора при проверке сжатых исполняемых файлов и архивов
Обновления: Обновления вирусных баз быстро и часто. Сеть зеркал обеспечивает локальный источник обновления для пользователей в большинстве странах. Обновления легко и быстро можно получить даже при использовании коммутируемого соединения.
Заключение
ClamAV до сих пор правильный путь, прежде чем он сможет приблизиться к производительности антивирусных продуктов, таких как Kaspersky AntiVirus, но он стал весьма эффективным инструментом, сравнивая его с некоторыми коммерческими продуктами. Основные области, в которых он выполняет хорошо сканирование в обнаружении в электронной почте вирусов (черви) и фишинга, которые являются основным приложением для целевого продукта.