En realidad, genero firmas de las bibliotecas, para escanear los archivos ejecutables y estar vinculados estáticamente a esa biblioteca. Mi enfoque real es leer en voz alta la sección de texto y generar una secuencia de bytes para cada función con marcadores de posición.
Para los pasos de versión pequeña de la biblioteca, hay muchos falsos positivos con el archivo clamscan de ClamAV.
¿Existe un mejor enfoque para generar firmas para las bibliotecas y detectarlas después con ClamAV?
Parece que ClamAV admite tanto YARA y OpenIOC . Estos dos métodos de escritura de firmas te permitirán tener un aspecto mucho más específico en lugar de solo secuencias de bytes. Consulte este documento SANS para conocer un poco de metodología. .
Si solo desea una idea rápida de lo que estos dos marcos pueden definir, consulte la documentación de YARA y IOC . Ambos marcos tienen mucha más documentación sobre cómo escribir buenas firmas que serán un buen material de lectura adicional.
Una de las formas de desarrollar firmas sería usando el hash MD5 del archivo usando el SIGTOOL que proporcionó ClamAV, pero la restricción aquí sería que coincidiría o se dispararía solo cuando el hash coincida con la firma.
También podemos dividir la sección hexadecimal y el encabezado en dos archivos separados para crear el hash MD5 para ellos.
También puede usar depurar y dejar archivos:
clamscan --debug 2>debug.log --leave-temps --tempdir=tmp
Luego puedes encontrar un código de depuración útil en debug.log .
signatures.pdf actual: on GitHub