Clamav windows как пользоваться

Linux E X P R E S, Для вашей защиты: Антивирус ClamAV

Для вашей защиты: Антивирус ClamAV

Хотя вирусы и другие подобные вредоносы не очень распространены в Linux, для этой системы также существуют антивирусные программы. Одной из них является бесплатная программа ClamAV, предлагающая широкий спектр применения для защиты от вредоносных программ.

Вторник, 16 декабря 2008 г.программа, конечно при условии соблюдения лицензии. Другими компонентами являются сканер clamscan, демон clamd, клиентское приложение clamdscan, сканер clamuko «при доступе», средство обновления freshclam и почтовый фильтр clamav-milter (для почтового сервера sendmail).

Существует также версия для Windows, в которой вы также можете использовать графический пользовательский интерфейс ClamWin, но доступны не все функции программы. Даже пользователи Mac OS X не останутся в стороне, здесь тоже можно использовать ClamAV. Что касается Linux, то здесь также доступны графические интерфейсы (KlamAV, ClamTk) для более удобного управления.

Возможности обнаружения

ClamAV — это не только антивирусная программа, в ее базе данных помимо вредоносных программ также есть образцы фишинговых писем. Это говорит о том, что одной из основных сфер использования является проверка почты. База данных на данный момент содержит около 470 тысяч образцов, более 8700 мелких («ежедневных») и почти 50 крупных обновлений уже состоялось.

Конечно, важно не то, сколько вирусов и других вредителей знает программа, а то, насколько хорошо она справляется с их обнаружением в реальной практике, в том числе насколько рано она способна обнаружить новый вредоносный код, как часто встречаются ложные будильники и т.д. Выяснить, как ClamAV немного проблематично — его обычно не включают в антивирусные тесты, поэтому достоверных результатов практически нет.

С другой стороны, ClamAV является, например, стандартной частью продукта Mac OS X Server или решения IBM Power Systems, поэтому можно предположить, что поставщики провели некоторые тесты и оценили ClamAV как достаточно компетентен для такого развертывания.

Что касается возможности обнаружения файлов, ClamAV может работать с различными типами исполняемых файлов и документов, с различными форматами хранения электронной почты, а также может сканировать архивы.(однако для некоторых, например ZIP или RAR, требуется внешняя поддержка), даже рекурсивно.

Проверка почты

Одной из основных задач ClamAV является проверка почтового трафика на сервере. Как правило, это работает таким образом, что SMTP-сервер получает сообщение, проверяет его программой ClamAV на возможное наличие вирусов, а затем каким-то образом обрабатывает его. Если этим SMTP-сервером является sendmail, можно использовать фильтр clamav-milter . Однако обычно используется решение, основанное на программе AMaViS (обычно amavisd-new), которая разбивает каждое сообщение на отдельные компоненты, а затем отправляет их на проверку на вирусы (в данном случае ClamAV) и спам (например, Spamassassin).

Почту можно проверить двумя способами. Либо запущен демон clamsd и данные передаются ему для проверки, либо может быть запущена программа сканирования (clamscan) для отдельных сообщений. За исключением исключительных случаев, первый способ предпочтительнее, так как нет необходимости каждый раз перезагружать обширную вирусную базу.

Подключение к KMail

В дистрибутивах Linux, как правило, нет необходимости беспокоиться о взаимодействии программ AMaViS и ClamAV, файлы конфигурации AMaViS уже подготовлены для различных антивирусных программ, вам нужно только изменить параметры при необходимости .

Ручная проверка файлов

Ручное управление — самый простой способ использования ClamAV. Одним из вариантов является использование графического интерфейса (например, KlamAV), но программой также очень легко управлять из командной строки. Вот несколько примеров:

Первая команда проверяет все файлы в текущем каталоге. Второй будет сканировать указанный файл, а третий будет сканировать файлы в указанном каталоге (только в нем, а не в подкаталогах). Наконец, четвертая команда означает, что clamscan будет получать данные со стандартного ввода, куда они пойдут по пайпу из программыгенератор. Все эти команды будут выполнять стандартную проверку, т.е. с настройкой по умолчанию.

Если вам нужно повлиять на поведение сканера, для этого есть ряд доступных параметров, например, вот так:

В первой строке есть небольшая модификация команды проверки указанной директории — в этом случае проверка будет рекурсивной, т.е. с включением поддиректорий. Вторая команда перемещает зараженные файлы в каталог /tmp/viruses , третья затем сообщает только о зараженных файлах (в противном случае сообщается результат проверки каждого файла), а также подает звуковой сигнал при обнаружении заражения.

Помимо использования сканера clamscan, у вас также есть возможность передавать файлы для проверки запущенному демону scand, что значительно ускоряет сканирование. Но разумеется демон должен быть запущен, кроме того, нельзя использовать сторонние программы для распаковки архивов и нельзя задавать некоторые параметры (демон работает согласно своей конфигурации, обычно хранящейся в файле /etc/clamd.conf). Вот как это выглядит:

Это похоже на первые три команды, показанные для сканера clamscan. Текущий каталог проверяется снова, или указанный файл и указанный каталог. Но будьте осторожны — в этом случае каталог всегда сканируется рекурсивно. Последняя команда показывает небольшую модификацию элемента управления. Демон различает несколько разных режимов. В этом случае используется так называемый мультискан , что означает распараллеливание проверки в несколько потоков (подходит для систем с несколькими процессорами или процессорными ядрами).

Автоматическая (плановая) проверка

Автоматическая проверка по расписанию практически ничем не отличается от ручной проверки. Опять же, можно использовать либо clamscan, либо демон clamscan. В любом случае желательно выполнять проверку (любым способом) с пониженным приоритетом процесса, из-за загрузки процессора, а возможно (если возможно) и с более низким приоритетом ввода/вывода.

Одинвыполнение может выполняться через демон cron или anacron или из планировщика графического интерфейса. Также можно представить автоматическую проверку всех вновь созданных файлов в определенном каталоге (например, во время загрузки по FTP), запускаемую, например, программой incron.

Проверить при доступе к файлу

Антивирусные программы часто используются для сканирования файла в тот момент, когда кто-то его открывает (так называемое сканирование «при доступе»), чтобы они могли обнаружить опасный код до того, как он успеет запуститься. ClamAV тоже может это сделать, хотя это и не совсем тривиально.

Проблема в том, что доступ к файлам обрабатывается ядром, тогда как ClamAV является обычной прикладной программой. Решение заключается в том, что в ядре есть специальный модуль (Dazuko — изначально разработанный Avira как раз для целей борьбы с вирусами), который позволяет антивирусной программе получить контроль в тот момент, когда кто-то пытается открыть файл. Затем вы можете проверить и, возможно, предотвратить открытие файла.

Модуль dazuko связывается с ClamAV, создавая специальное устройство, которое открывает ClamAV. Со стороны ClamAV этим занимается компонент Clamuko, который создает отдельный поток внутри clamd.

К сожалению, у этого подхода есть свои недостатки. С одной стороны, нужно позаботиться о чистом завершении работы демона clamd, более того, авторы ClamAV прямо предостерегают от использования этого решения на продакшн-системах. В качестве более подходящей замены рекомендуют использовать другое решение, основанное на модуле samba-vscan на серверах Samba (что будет типичным способом использования такой проверки), где все делается в пользовательском пространстве, без необходимости делать что-либо в ядро.

Есть и другие интересные методы антивирусной проверки при доступе. К ним относятся, например, mod_clamav (антивирусный модуль для HTTP-сервера Apache) или Avfs ( файл антивируса при доступе).System — файловая система, предназначенная для антивирусной проверки).

Графические пользовательские интерфейсы

Существует два графических интерфейса Linux для ClamAV: KlamAV и ClamTk. Первый из них предназначен для среды рабочего стола KDE, второй — для GNOME и других сред на базе GTK+. При наличии соответствующих библиотек программы, конечно же, можно запускать и в «чужих» средах.

Программу KlamAV можно охарактеризовать как комплексное решение. В нем есть практически все, что нужно для антивирусной проверки — различные ручные проверки, автоматические тесты, проверка почты (для клиентской программы, например KMail), управление карантином, обновления и т.д. Все легко «щелкнуть», возможности поистине бесконечно экстенсивно. Те, кто любит настраивать все по своему вкусу, обязательно оценят программу KlamAV. С точки зрения чешского пользователя немного раздражает, что он лишь частично переведен на чешский язык.

Обнаружена проблема в exe-файле

С другой стороны, программа ClamTk очень проста — она может только вручную запускать тесты и управлять карантином, не более того. С одной стороны, это ограничение, но для быстрого использования (и для тех, кто не любит щелкать сложные графические интерфейсы) это преимущество. С точки зрения чешского перевода, он примерно такой же (плохой), как KlamAV.

Интерфейс ClamTk

Проверить скорость

Я уже несколько раз касался этого вопроса. Короче говоря, ClamAV работает медленно — до десяти раз по сравнению с обычными антивирусными программами (например, AVG, Avast!, NOD32). Это также приводит к некоторым рекомендациям, связанным с использованием ClamAV.

Обновления ClamAV и ClamAV

Медлительность, с одной стороны, снижает удобство использования для управления доступом. Особенно на более медленных системах такое развертывание означало бы долгое ожидание при открытии каждого отсканированного файла. При автоматическом и ручном управлениивыгоднее проверять как можно больше файлов сразу, либо пользоваться услугами демона — намного медленнее всего (от единиц до десятков секунд) загружается вирусная база, поэтому желательно максимально исключить эту операцию насколько это возможно.

Бесплатный, полезный, функциональный, но медленный

Антивирусная программа ClamAV превосходна, потому что это бесплатное программное обеспечение, которое не ограничивает никого в использовании. Это избавляет от необходимости следить за тем, не исчерпано ли количество лицензионных почтовых ящиков и не перестанет ли обновляться вирусная база через неделю из-за истечения оплаченного периода.

Взаимодействие с почтовым клиентом

Качество обнаружения трудно оценить из-за отсутствия информации. Исходя из собственного опыта трехлетней развёртывания на почтовом сервере, могу сказать, что не знаю ни одного зараженного сообщения (считаю только обычные вредоносные программы, не фишинговые), которые прошли бы через фильтр — в то же время, Я знаю случаи сообщений, которые ClamAV правильно распознавал как зараженные, в то время как большинство других антивирусных программ их еще не знали и отклоняли. У кого-то, конечно, может быть другой опыт. Объективные тесты помогли бы, если бы кто-нибудь их провел (или включил в обычные тесты ClamAV).

Основной областью применения программы ClamAV будет именно проверка почты, где медлительность часто не является проблемой или более чем полностью компенсируется преимуществами ClamAV. Также не проблема использовать ClamAV для запланированных проверок файлов, которые также не возражают, если они займут немного больше времени. Наоборот, любителям использовать контроль доступа стоит поискать в другом месте — ClamAV не очень подходит для этой задачи.