» Clam AntiVirus (ClamAV)

Кто нибудь,объясните как все таки ClamAV Antivirus Native Win32 Port из шапки использовать в качестве антивирусного монитора в реальном времени ?! Положил сборку согласно путям в конфигах,обновил сигнатуры,запускаю clamd,вижу
...
Archive support enabled.
Algorithmic detection enabled.
Portable Executable support enabled.
ELF support enabled.
Mail files support enabled.
OLE2 support enabled.
PDF support enabled.
SWF support enabled.
HTML support enabled.
Self checking every 600 seconds.

и все.Никакую заразу он не ловит,даже eicar.Миф какой то,битый час уже бьюсь.Не то,чтобы есть потребность в открытом антивирусе,но хотелось бы просто увидеть что это работает.

mithridat1
Там есть одно из примечаний:
Цитата:

Memory scan of System processes needs Debug Privileges, on Windows XP Home Debug Privileges are disabled by default, thus you can use this little program to enable them. After executing it you'll need to reboot.

Kondishn
У меня Windows 2003 и отладка программ для Администратора включена по умолчанию.Думаю,дело не в том.

mithridat1

В ClamAV того что вы просите (функции рунтайм-сканера) отродясь не было. Он по иному работает - его драйвер читает почтовый поток с сетевого интерфейса и передаёт на проверку демону, тот вылавливает заразу а очищенные письма передаёт на вход локального мэйлера. Для сканирования содержимого локальной ФС есть специальные шеллы или пишутся скрипты запускаемые кроном.

А рунтайм-сканер локальной мухобойке на деле не нужен ибо вероятность того что входной поток 100% заражён крайне мала и при наличии на входе сети AV защиты достаточно проверять машину раз в пару недель. А с этой задачей справляются запускаемые через кронтаб скрипты. Идея же AV-рунтаймов родилась ещё в начале 80-х когда появились первые микроЭВМ под не незащищёнными ОС (DOS, NetWare, упрощенные установки UNIX из которых экспериментаторы выкидывали часть значительную средств безопасности ядра чтобы запустить их на IBM PC JR/XT/AT) где основными "средствами поражения" были сетевые черви и файловые вирусы. Тогда степень заражения микроЭВМ в иных конторах достигала до 95% и более, а потому наличие AV-рунтайма позволяло снизить остроту проблемы, но не устраняло её полностью. Сегодня технически обоснованной необходимости в них нет, рунтайм-сканер в большей степени стал чисто рекламным элементом "Рунтайм-сканер есть только в нашей мухобойке! Вы обязаны её срочно купить!". Правда на вопрос насколько он нужен в современных сетях когда в любом активном сетевом оборудовании данных (маршрутизаторы, брандмауэры, сервера) уже есть встроенный защитный комплекс реального времени отфильтровывающий свыше 98% - 99% опасного "добра" ещё на входе сети разработчики мухобоек или не отвечают, или пускаются в пространные рассуждения на тему о том как много вирусов на свете...

Victor_VG
Во многом согласен с вашими рассуждениями,но они все таки относятся к корпоративным пользователям.Сборка для Win32,раз уж она есть,предназначена больше для конечных пользователей PC,чем для серверов.Получается,что информация в шапке вводит в заблуждение - никакой это не монитор,а обычный сканер,умеющий все то же что и официальный ClamAV.Я на многое не рассчитывал,но хотелось посмотреть как ClamAV будет детектировать зловредов в памяти и при чтении с диска.

mithridat1

Почему только для контор? ClamAV изначально создавался для работы с почтой, а потому построен по принципу потокового фильтра. Это уже мы сами его приспособили для других задач. К примеру тот же ClamWin хотя не имеет сканера, но файлы исправно сканирует управляясь через свою оболочку и планировщик.

У меня на демонёнке подняты основные порты clamav, clamav-milter, clamav-unofficial-sigs, razorback-clamavNugget и куча прочей мелочи - хватает. Можно было бы и макаку для полноты счастья прикрутить да только время жалко на сию возню тратить.

А так, по моей статистике многолетних наблюдений за производительностью различных ЭВМ рунтайм-сканер скорее приносит вред чем пользу т.к. зачастую бестолково использует процессорное время и снижает производительность ЭВМ в целом, особенно удлиняя время осуществления файловых операций. Это в первую очередь стоит отнести к новомодному облачному анализу - время принятия решения AV защитой составляет несколько минут, а его "точность" вечно стремится к нулю ибо - "По данным облака: N пользователей сказали вирус - достаточно, вредоносный объект уничтожен!" а на деле "вредоносный объект" никто и не собирался проверять ибо принцип "облачной проверки" прост - бесконечный во времени опрос "Что вы можете сказать о ..." и если никаких отзывов на момент запроса к облаку нет или есть хотя бы один отрицательный отзыв (правильность отзывов никто не проверяет - проверяется только заполнение формы ответа ), то автоматически выдаётся не пересматриваемый вердикт "Объект вредоносен, рейтинг опасности наивысший, добавлен в AV базы как ... , оценку поставили N = M пользователей облака. " со всеми вытекающими. Это бизнес, и он строится на вероятности того, что хотя бы один отрицательный отзыв будет, а вот чтобы снять статус "вредоносный" - уважаемый автор платите деньги за проведение полноценной AV экспертизы или будете иметь неприятности с Законом.

Кстати, наводя порядок на своих серверах отыскал ещё один рунтайм - Clam Sentinel - можно попробовать с ним повозится - исходники у него открыты через CVS....

Люди, подскажите, пожалуйста, в чём может быть проблема.
Установлен Calmav на Win Server 2008R2. Работает нормально, обновляется. Но никак не хочет выполнять команды при обновлении. Вот кусок конфига. Что здесь нет так?

# Run command after successful database update.
# Default: disabled
OnUpdateExecute c:\clamav-devel\Success.bat

# Run command when database update process fails.
# Default: disabled
OnErrorExecute c:\clamav-devel\Failed.bat

# Run command when freshclam reports outdated version.
# In the command string %v will be replaced by the new version number.
# Default: disabled
OnOutdatedExecute c:\clamav-devel\Outdate.bat

Вчера ClamWin доложил об обновлении до версии 0.98.6. Ну, на скорую руку я на его основе портативку скрутил на скелете PAF варианта 0.98.5 - ClamWinPortable_0.98.6_English.paf.exe.

Victor_VG
обновите пожалуйста PAF, если не затруднит.

mozgabyte

Да она давно существует - http://sourceforge.net/projects/portableapps/files/ClamWin%20Portable/ClamWinPortable_0.98.7_English.paf.exe/download задержка скачивания 5 секунд, 8676 Кб, но без AV баз. Если их туда добавить будет около 100 Мб. Могу сделать. Надо?

Victor_VG
О, не видел раньше его.
Мне вполне хватит этого, без баз. Спасибо.

mozgabyte

Не за что. Если нужно, то можно пересобрать и с текущими базами, но их размер около 100 Мб...

А что за AVITVA на базе ClamAV? Морду прикрутили или еще какая-то разница есть?

ClamWin сегодня ночью обновился до версии 0.99 (обновление 0.98.7 - 0.99 есть), а сам ClamAV ещё 2015-12-01 18:15:38 UTC в версии 0.99 выложен. Посему (вдруг кому пригодиться?) собрал ClamWinPortable_0.99.0_English.paf.exe с использованием нового PortableApps.com Installer v3.1 (основан на NSIS 3.0b3).


Добавлено:
Kristallite

Читайте - http://pc-world.pp.ua/index.php/antivirus2015/otzyv-obzor-besplatnogo-antivirusa-avitva реально аналог многих подобных ему поделий за которым стоит открытое нежелание думать и бездонные карманы.

Подскажите, с чем может быть связано такое:


Код: c:\Program Files (x86)\LibreOffice 5\help\ru\sdraw.jar: Can't create temporary directory ERROR
c:\Program Files (x86)\LibreOffice 5\help\ru\sdraw.key: OK
c:\Program Files (x86)\LibreOffice 5\help\ru\shared.jar: Can't create temporary directory ERROR

Цитата:

Подскажите, с чем может быть связано такое:


Код:
c:\Program Files (x86)\LibreOffice 5\help\ru\sdraw.jar: Can't create temporary directory ERROR
c:\Program Files (x86)\LibreOffice 5\help\ru\sdraw.key: OK
c:\Program Files (x86)\LibreOffice 5\help\ru\shared.jar: Can't create temporary directory ERROR




Код:
LibClamAV Error: cab_extract: Can't open file \\clamav-d7729456f702e0e2de2e1758b08b8b7c.0000100c.clamtmp in write mode

Судя по всему проблемы с переменными среды TEMP и TMP. Возможно, или нет таких переменных, или в этих переменных указан несуществующий путь, поэтому не создаются временные файлы.