ClamAV
| File:New ClamAV Logo.png | |
| ClamAV 1.4.3 ClamAV 1.4.3 | |
| 原作者 | Tomasz Kojm |
|---|---|
| 开发者 | 思科系统Cisco Talos |
| 首次发布 | 2002年5月8日 |
| 当前版本 | |
| 源代码库 |
|
| 编程语言 | C,C++ |
| 引擎 | |
| 操作系统 | 类Unix系统、Microsoft Windows |
| 类型 | 杀毒软件 |
| 许可协议 | GPLv2 |
| 网站 | www |
Clam AntiVirus(常简称为ClamAV)是一款自由且开放源代码的杀毒软件,其软件程序与病毒码的更新皆由开源社群共同维护发布。目前 ClamAV 主要被应用于由 Linux、FreeBSD 等类Unix系统架设的邮件服务器上,以提供电子邮件的病毒扫描服务。
ClamAV 本身在命令行界面下运作,但社群也开发了许多提供图形用户界面的前端工具(英语:GUI front-end)。此外,得益于其开放源代码的特性,ClamAV 在 Windows 与 macOS 等操作系统平台上都有相应的移植版本。
功能[编辑]
ClamAV 的工具集包含命令行扫描仪、数据库自动更新器,以及基于共享函数库、可扩展并支持多线程的杀毒引擎守护进程。
该应用程序亦内置支持了针对邮件过滤的 Milter 界面以及手动执行扫描的功能。
它支持解析的文件格式包括:
- ZIP、RAR、tar、gzip、bzip2、OLE2、CAB、CHM、BinHex、SIS 格式
- 大部分的电子邮件格式
- 经 UPX、FSG、Petite、NsPack、WWpack32、MEW、Upack 进行数据压缩,或经 SUE、Y0da Cryptor 进行代码混淆的可执行与可链接(ELF)和可移植可执行(PE)格式
- Office Open XML、HTML、RTF 和 PDF 文档格式
ClamAV 的病毒数据库更新十分频繁(至少每4小时更新一次)。截至2014年12月25日,其每日更新数据库(英语:daily update Virus DB)版本号为19837,已包含至少370万个病毒特征码[1];随着恶意软件的增长,近年来其特征库规模仍在持续大幅扩展。
效果[编辑]
在早期的杀毒软件评测中,ClamAV 曾与其他商业杀毒软件进行过对比测试。Shadowserver基金会曾持续针对各大杀毒软件进行每日测试。2011年,Shadowserver 基金会使用了约两千五百万个恶意软件样本进行测试,结果显示 ClamAV 的侦测率达到了 78.27%,在19项产品中排名第9,其表现优于部分知名的商业杀毒产品[2]。
在 AV-Test 于 2008 年进行的评测中,ClamAV 正确识别了约一百万个样本中的 77.3%,其各项指针评级为:
- 手动扫描:很差(英语:very poor)
- 伪阳误判:差(英语:poor)
- 即时扫描:差(英语:poor)
- 反应时间:很好(英语:very good)
- rootkits:很差(英语:very poor)[3]
在 2011 年 6 月至 12 月间 Shadowserver 基金会的进一步评测中,ClamAV 的 Windows 版本侦测率超过 75.45%,在 40 项产品中排名第六,仅次于AhnLab(Windows)、Avira(Linux)、Eset(Windows)、Avast(Windows)和 Bitdefender(Linux),而 ClamAV 的 Linux 版则排名第十[4]。
非官方数据库[编辑]
ClamAV 的杀毒引擎可用来侦测多种不同的文件类型,尤其对于某些网络钓鱼邮件具有较好的防护效果。然而,相较于传统的病毒特征码检测,其默认启发式扫描的误判率可能会稍高一些[5]。
Sanesecurity 是提供 ClamAV 非官方病毒数据库的知名组织之一。他们从 CRDF 威胁中心、Porcupine、Julian Field、MalwarePatrol 等其他信息安全机构获取资料,进行分类并建立成自定义的特征数据库[6]。此外,SecuriteInfo.com 也为 ClamAV 提供额外的病毒特征码补充[7]。
这些非官方数据库主要被系统管理员用于加强邮件过滤[8]。为了降低误挡正常邮件的风险,建议在使用这些数据库时配合“垃圾邮件评分机制”来综合判断,而非直接屏蔽被标记为“受感染”的邮件[6]。
各平台版本[编辑]
Linux[编辑]
- ClamTk - 使用 gtk2-Perl 开发的 ClamAV 图形化前端。
- KlamAV - 早期为 KDE 桌面环境开发的 ClamAV 前端(已停止维护)。
- Copfilter - 内置 ClamAV 防护功能的 IPCop 扩展。
macOS[编辑]
- Mac OS X Server 10.4 - 苹果早期服务器系统曾内置 ClamAV。
- ClamXAV - 采用 ClamAV 作为扫描引擎的 macOS 杀毒软件(早期为免费软件,自 2015 年起已转为商业付费软件)。
- Tiger Cache Cleaner - 内附 ClamAV 功能的系统维护工具。
Windows[编辑]
- ClamAV for Windows - 官方现已直接提供适用于 Windows 平台的二进制可执行文件。
- ClamWin - ClamAV 的 Windows 开源移植版,支持扫描 Microsoft Outlook、Internet Explorer 与 Mozilla Firefox 下载的文件,但其原生不具备即时扫描能力。
- Spyware Terminator - 一款免费的电脑安全软件,内部集成了 ClamAV 引擎。
- Moon Secure Antivirus - 早期的一款开源杀毒软件,曾基于 ClamAV 提供即时防护功能(英语:realtime protection,已停止维护)。
- Immunet - 曾是一套基于云端的免费杀毒软件,结合了 ClamAV 引擎,后被思科收购,已于 2024 年 1 月 1 日正式停止营运。
- CS Antivirus[9]
- Clam Sentinel - 一款免费软件[10],常驻在系统匣(通知区域)中,透过监控文件系统的变化并调用 ClamWin 进行扫描,从而为 ClamWin 提供即时防护能力[11]。它同时支持主动启发式防护功能,适用于 Windows 98 至 Windows 8 等多种旧版操作系统。
即时文件扫描[编辑]
在早期版本中,ClamAV 核心程序原生并不包含即时扫描功能(即在文件被读取或写入时自动触发扫描),依赖第三方应用程序(如支持 FUSE 的 ClamFS、Linux 下的 DazukoFS、Windows 下的 Clam Sentinel 和 Winpooch 等)来实现即时检查[12][13]。
不过,自 0.102.0 版本起,ClamAV 官方为 Linux 系统引入了名为 `clamonacc` 的守护进程,取代了旧有的 `clamdscan` 即时监控方案,使得 ClamAV 得以在 Linux 平台上原生支持即时扫描(On-Access Scanning)防护。
专利诉讼[编辑]
2008年,安全厂商 Barracuda Networks 因将 ClamAV 作为其安全套装的一部分进行散布,遭到了趋势科技的起诉。[14] 趋势科技宣称 Barracuda Networks 使用 ClamAV 作为网关病毒过滤的行为侵犯了他们的第 5,623,600 号软件专利,此举引发了自由软件社群的强烈抗议,并呼吁大众抵制趋势科技。[15]
2008年7月,Barracuda Networks 利用从 IBM 获得的专利许可提起反诉。最终于2011年5月19日,美国专利及商标局(USPTO)在针对第 5,623,600 号专利的再审查中,做出了终审驳回趋势科技专利声明的决定。[16]
参见[编辑]
参考资料[编辑]
- ^ ClamAV. Latest Stable Release. August 2010 [2010-08-21]. (原始内容存档于2013-06-27).
- ^ ShadowServer Yearly Stats. www.shadowserver.org. 2012-01-05 [2012-01-05]. (原始内容存档于2011-06-25).
- ^ Anti-virus comparison test of current anti-malware products, Q1/2008. AV-Test GmbH. 22 January 2008 [12 February 2008]. (原始内容存档于2011年7月15日).
- ^ ShadowServer 180 Day Stats. www.shadowserver.org. 2011-08-16 [2011-12-16]. (原始内容存档于2011-11-27).
- ^ Brad Wardman; Tommy Stallings; Gary Warner; Anthony Skjellum. High-Performance Content-Based Phishing Attack Detection (PDF). uab.edu. 5 August 2011 [2 September 2014]. (原始内容存档 (PDF)于2014-09-03).
- ^ 6.0 6.1 Signatures. Sanesecurity ClamAV: Phishing, Spam & Malware Signatures. [2024-01-15]. (原始内容存档于2015-09-10) (en-US).
- ^ Add 4,000,000 signatures to ClamAV antivirus. www.securiteinfo.com. [2024-01-15]. (原始内容存档于2024-12-09) (English).
- ^ ClamAV Unofficial Signatures Updater. sourceforge.net. 24 May 2009 [2 September 2014]. (原始内容存档于2015-08-24).
- ^ CS Anti-Virus description. Softpedia.com. 2009-03-23 [2010-11-09]. (原始内容存档于2011-11-02).
- ^ Clam Sentinel. Clam Sentinel - Free Realtime Antivirus. 2014-09-01 [2015-09-06]. (原始内容存档于2014-10-08).
- ^ Cyber Pillar. Clam Sentinel - Making ClamWin Be Used In Real-Time. [2014-09-01]. (原始内容存档于2014-08-19).
- ^ Clam Sentinel. [2014-06-19]. (原始内容存档于2014-06-16).
- ^ Winpooch. [2014-06-19]. (原始内容存档于2011-03-20).
- ^ Trend Micro patent claim provokes FOSS community, leads to boycott. 2008-02-11 [2008-02-12]. (原始内容存档于2008-02-13).
- ^ Boycott Trend Micro. [2012-08-27]. (原始内容存档于2012-10-13).
- ^ Groklaw - Anatomy of a Dying Patent - The Reexamination of Trend Micro's '600 Patent. [2012-08-27]. (原始内容存档于2012-08-27).
延伸阅读[编辑]
- 访谈ClamAV的创始者 - Tomasz Kojm 封存版本
外部链接[编辑]
.svg){kind=link}
- Clam AntiVirus项目主页(英文)
- SourceForge上的Clam AntiVirus(英文)
- PortableApps上的免安装的ClamWin(英文)
- ClamWin(页面存档备份,存于互联网档案馆)
- ClamTk(页面存档备份,存于互联网档案馆)
- ClamXAV(页面存档备份,存于互联网档案馆)
- TigerCacheCleaner(页面存档备份,存于互联网档案馆)
- KlamAV - ClamAV frontend for KDE
- 500000病毒签名的ClamAV(页面存档备份,存于互联网档案馆)
- Spyware Terminator(页面存档备份,存于互联网档案馆)
- Sourcefire官网
- Moon Secure Antivirus官方网站(页面存档备份,存于互联网档案馆)