ClamAV
| File:New ClamAV Logo.png | |
| ClamAV 1.4.3 ClamAV 1.4.3 | |
| 原作者 | Tomasz Kojm |
|---|---|
| 開發者 | 思科系統Cisco Talos |
| 首次釋出 | 2002年5月8日 |
| 目前版本 | |
| 原始碼庫 |
|
| 程式語言 | C,C++ |
| 引擎 | |
| 作業系統 | 類Unix系統、Microsoft Windows |
| 類型 | 防毒軟件 |
| 特許條款 | GPLv2 |
| 網站 | www |
Clam AntiVirus(常簡稱為ClamAV)是一款自由且開放原始碼的防毒軟件,其軟件程式與病毒碼的更新皆由開源社群共同維護發佈。目前 ClamAV 主要被應用於由 Linux、FreeBSD 等類Unix系統架設的郵件伺服器上,以提供電子郵件的病毒掃描服務。
ClamAV 本身在命令列介面下運作,但社群也開發了許多提供圖形化使用者介面的前端工具(英語:GUI front-end)。此外,得益於其開放原始碼的特性,ClamAV 在 Windows 與 macOS 等作業系統平台上都有相應的移植版本。
功能[編輯]
ClamAV 的工具集包含命令列掃描器、資料庫自動更新器,以及基於共用函式庫、可延伸並支援多線程的防毒引擎常駐程式。
該應用程式亦內建支援了針對郵件過濾的 Milter 介面以及手動執行掃描的功能。
它支援解析的檔案格式包括:
- ZIP、RAR、tar、gzip、bzip2、OLE2、CAB、CHM、BinHex、SIS 格式
- 大部分的電子郵件格式
- 經 UPX、FSG、Petite、NsPack、WWpack32、MEW、Upack 進行數據壓縮,或經 SUE、Y0da Cryptor 進行代碼混淆的可執行與可連結(ELF)和可移植可執行(PE)格式
- Office Open XML、HTML、RTF 和 PDF 文件格式
ClamAV 的病毒資料庫更新十分頻繁(至少每4小時更新一次)。截至2014年12月25日,其每日更新資料庫(英語:daily update Virus DB)版本號為19837,已包含至少370萬個病毒特徵碼[1];隨着惡意軟件的增長,近年來其特徵庫規模仍在持續大幅擴充。
效果[編輯]
在早期的防毒軟件評測中,ClamAV 曾與其他商業防毒軟件進行過對比測試。Shadowserver基金會曾持續針對各大防毒軟件進行每日測試。2011年,Shadowserver 基金會使用了約兩千五百萬個惡意軟件樣本進行測試,結果顯示 ClamAV 的偵測率達到了 78.27%,在19項產品中排名第9,其表現優於部分知名的商業防毒產品[2]。
在 AV-Test 於 2008 年進行的評測中,ClamAV 正確識別了約一百萬個樣本中的 77.3%,其各項指標評級為:
- 手動掃描:很差(英語:very poor)
- 偽陽誤判:差(英語:poor)
- 即時掃描:差(英語:poor)
- 反應時間:很好(英語:very good)
- rootkits:很差(英語:very poor)[3]
在 2011 年 6 月至 12 月間 Shadowserver 基金會的進一步評測中,ClamAV 的 Windows 版本偵測率超過 75.45%,在 40 項產品中排名第六,僅次於AhnLab(Windows)、Avira(Linux)、Eset(Windows)、Avast(Windows)和 Bitdefender(Linux),而 ClamAV 的 Linux 版則排名第十[4]。
非官方資料庫[編輯]
ClamAV 的防毒引擎可用來偵測多種不同的檔案類型,尤其對於某些網絡釣魚郵件具有較好的防護效果。然而,相較於傳統的病毒特徵碼檢測,其預設啟發式掃描的誤判率可能會稍高一些[5]。
Sanesecurity 是提供 ClamAV 非官方病毒資料庫的知名組織之一。他們從 CRDF 威脅中心、Porcupine、Julian Field、MalwarePatrol 等其他資安機構取得資料,進行分類並建立成自訂的特徵資料庫[6]。此外,SecuriteInfo.com 也為 ClamAV 提供額外的病毒特徵碼補充[7]。
這些非官方資料庫主要被系統管理員用於加強郵件過濾[8]。為了降低誤擋正常郵件的風險,建議在使用這些資料庫時配合「垃圾郵件評分機制」來綜合判斷,而非直接封鎖被標記為「受感染」的郵件[6]。
各平台版本[編輯]
Linux[編輯]
- ClamTk - 使用 gtk2-Perl 開發的 ClamAV 圖形化前端。
- KlamAV - 早期為 KDE 桌面環境開發的 ClamAV 前端(已停止維護)。
- Copfilter - 內建 ClamAV 防護功能的 IPCop 擴充套件。
macOS[編輯]
- Mac OS X Server 10.4 - 蘋果早期伺服器系統曾內建 ClamAV。
- ClamXAV - 採用 ClamAV 作為掃描引擎的 macOS 防毒軟件(早期為免費軟件,自 2015 年起已轉為商業付費軟件)。
- Tiger Cache Cleaner - 內附 ClamAV 功能的系統維護工具。
Windows[編輯]
- ClamAV for Windows - 官方現已直接提供適用於 Windows 平台的二進位執行檔。
- ClamWin - ClamAV 的 Windows 開源移植版,支援掃描 Microsoft Outlook、Internet Explorer 與 Mozilla Firefox 下載的檔案,但其原生不具備即時掃描能力。
- Spyware Terminator - 一款免費的電腦保安軟件,內部整合了 ClamAV 引擎。
- Moon Secure Antivirus - 早期的一款開源防毒軟件,曾基於 ClamAV 提供即時防護功能(英語:realtime protection,已停止維護)。
- Immunet - 曾是一套基於雲端的免費防毒軟件,結合了 ClamAV 引擎,後被思科收購,已於 2024 年 1 月 1 日正式停止營運。
- CS Antivirus[9]
- Clam Sentinel - 一款免費軟件[10],常駐在系統匣(通知區域)中,透過監控檔案系統的變化並呼叫 ClamWin 進行掃描,從而為 ClamWin 提供即時防護能力[11]。它同時支援主動啟發式防護功能,適用於 Windows 98 至 Windows 8 等多種舊版作業系統。
即時檔案掃描[編輯]
在早期版本中,ClamAV 核心程式原生並不包含即時掃描功能(即在檔案被讀取或寫入時自動觸發掃描),依賴第三方應用程式(如支援 FUSE 的 ClamFS、Linux 下的 DazukoFS、Windows 下的 Clam Sentinel 和 Winpooch 等)來實現即時檢查[12][13]。
不過,自 0.102.0 版本起,ClamAV 官方為 Linux 系統引入了名為 `clamonacc` 的常駐程式,取代了舊有的 `clamdscan` 即時監控方案,使得 ClamAV 得以在 Linux 平台上原生支援即時掃描(On-Access Scanning)防護。
專利訴訟[編輯]
2008年,安全廠商 Barracuda Networks 因將 ClamAV 作為其安全套裝的一部分進行散佈,遭到了趨勢科技的起訴。[14] 趨勢科技宣稱 Barracuda Networks 使用 ClamAV 作為閘道器病毒過濾的行為侵犯了他們的第 5,623,600 號軟件專利,此舉引發了自由軟件社群的強烈抗議,並呼籲大眾抵制趨勢科技。[15]
2008年7月,Barracuda Networks 利用從 IBM 獲得的專利特許提起反訴。最終於2011年5月19日,美國專利及商標局(USPTO)在針對第 5,623,600 號專利的再審查中,做出了終審駁回趨勢科技專利聲明的決定。[16]
參見[編輯]
參考資料[編輯]
- ^ ClamAV. Latest Stable Release. August 2010 [2010-08-21]. (原始內容存檔於2013-06-27).
- ^ ShadowServer Yearly Stats. www.shadowserver.org. 2012-01-05 [2012-01-05]. (原始內容存檔於2011-06-25).
- ^ Anti-virus comparison test of current anti-malware products, Q1/2008. AV-Test GmbH. 22 January 2008 [12 February 2008]. (原始內容存檔於2011年7月15日).
- ^ ShadowServer 180 Day Stats. www.shadowserver.org. 2011-08-16 [2011-12-16]. (原始內容存檔於2011-11-27).
- ^ Brad Wardman; Tommy Stallings; Gary Warner; Anthony Skjellum. High-Performance Content-Based Phishing Attack Detection (PDF). uab.edu. 5 August 2011 [2 September 2014]. (原始內容存檔 (PDF)於2014-09-03).
- ^ 6.0 6.1 Signatures. Sanesecurity ClamAV: Phishing, Spam & Malware Signatures. [2024-01-15]. (原始內容存檔於2015-09-10) (en-US).
- ^ Add 4,000,000 signatures to ClamAV antivirus. www.securiteinfo.com. [2024-01-15]. (原始內容存檔於2024-12-09) (English).
- ^ ClamAV Unofficial Signatures Updater. sourceforge.net. 24 May 2009 [2 September 2014]. (原始內容存檔於2015-08-24).
- ^ CS Anti-Virus description. Softpedia.com. 2009-03-23 [2010-11-09]. (原始內容存檔於2011-11-02).
- ^ Clam Sentinel. Clam Sentinel - Free Realtime Antivirus. 2014-09-01 [2015-09-06]. (原始內容存檔於2014-10-08).
- ^ Cyber Pillar. Clam Sentinel - Making ClamWin Be Used In Real-Time. [2014-09-01]. (原始內容存檔於2014-08-19).
- ^ Clam Sentinel. [2014-06-19]. (原始內容存檔於2014-06-16).
- ^ Winpooch. [2014-06-19]. (原始內容存檔於2011-03-20).
- ^ Trend Micro patent claim provokes FOSS community, leads to boycott. 2008-02-11 [2008-02-12]. (原始內容存檔於2008-02-13).
- ^ Boycott Trend Micro. [2012-08-27]. (原始內容存檔於2012-10-13).
- ^ Groklaw - Anatomy of a Dying Patent - The Reexamination of Trend Micro's '600 Patent. [2012-08-27]. (原始內容存檔於2012-08-27).
延伸閱讀[編輯]
- 訪談ClamAV的創始者 - Tomasz Kojm 封存版本
外部連結[編輯]
.svg){kind=link}
- Clam AntiVirus專案主頁(英文)
- SourceForge上的Clam AntiVirus(英文)
- PortableApps上的免安裝的ClamWin(英文)
- ClamWin(頁面存檔備份,存於互聯網檔案館)
- ClamTk(頁面存檔備份,存於互聯網檔案館)
- ClamXAV(頁面存檔備份,存於互聯網檔案館)
- TigerCacheCleaner(頁面存檔備份,存於互聯網檔案館)
- KlamAV - ClamAV frontend for KDE
- 500000病毒簽名的ClamAV(頁面存檔備份,存於互聯網檔案館)
- Spyware Terminator(頁面存檔備份,存於互聯網檔案館)
- Sourcefire官網
- Moon Secure Antivirus官方網站(頁面存檔備份,存於互聯網檔案館)