我正在尝试为我拥有的恶意软件数据集生成clamav签名。
最初我已经识别出一些在一类恶意软件中很突出的字符串,因此,考虑这些字符串并使用以下方法生成ldb签名。
签名的名称,引擎版本,目标为0.我们在这里还有'x'个子签名,x是100,每个都有逻辑或。所有字符串都转换为十六进制表示。以下是生成的示例。
ramnit.Signature;引擎:0-500,目标:0; 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99; 636f6e6e6; 686b65795; 363530393; 52656c656; 633a5c5c7; 436f6e766; 313937313; 6c6f63616; 576169744; 363337363; 686b65795; 353238363; 736c65657; 633a5c5c7; 636f6e6e6; 686b65795; 633a5c5c7; 737663686; 363030363; 633a5c5c7; 313935353; 633a5c5c7; 636f6e6e6; 6765746d6; 536574437; 313933393; 686b65795; 633a5c5c7; 323232363; 353537363; 686b65795; 686b65795; 686b65795; 686b65795; 686b65795; 686b65795; 686b65795; 686b65795; 353130363; 64656c657; 633a5c5c7; 633a5c5c7; 686b65795; 53656e644; 6b7975666; 6c6f63616; 494d41474; 686b65795; 686b65795; 686b65795; 696573716; 737663686; 313237303; 363033353; 363039383; 686b65795; 686b65795; 633a5c5c7; 686b65795; 333139313; 686b65795; 437265617; 686b65795; 476574546; 353631323; 633a5c5c7; 686b65795; 4 96e74657; 686b65795; 686b65795; 686b65795; 686b65795; 3f7365745; 633a5c5c7; 476574537; 527063426; 686b65795; 686b65795; 566572517; 353630353; 686b65795; 4f70656e5; 353138343; 4c6f6f6b7; 633a5c5c7; 476574546; 363139393; 633a5c5c7; 686b65795; 353638333; 676574707; 6f6c65333; 5065656b4; 343230353; 536574576; 5c5c3f3f5; 5265674f7; 633a5c5c7; 686b65795; 686b65795
现在,问题是如果有<= 65个子签名然后一切正常,但是如果它们增加到超过该值,则会导致以下错误。
LibClamAV Error: cli_loadldb: The number of subsignatures (== 65) doesn't match the IDs in the logical expression (== 100)
LibClamAV Error: Problem parsing database at line 1
LibClamAV Error: Can't load ramnit.ldb: Malformed database
ERROR: Malformed database
是否ldb签名仅限于65个条件?如果不是导致此问题的原因以及如何解决?
为什么你有这么多重复的子签名?!一旦你放下所有这些,你基本上会把你的规则减少一半。您甚至可以考虑制作此规则的多个版本,并将其分解为每个10-20个子目录。