安装ClamAV病毒扫描工具
- 通过yum源安装clamav工具。
yum install -y clamav
执行命令后,会安装clamav、clamav-data、clamav-filesystem三个组件。
- 若“/var/lib/clamav”目录下不存在daily.cvd、main.cvd和bytecode.cvd文件,可通过能连接公网的环境下载文件,下载完成后将文件复制到“/var/lib/clamav”目录下。
- daily.cvd文件,下载链接:https://database.clamav.net/daily.cvd。
- main.cvd文件,下载链接:https://database.clamav.net/main.cvd。
- bytecode.cvd文件,下载链接:https://database.clamav.net/bytecode.cvd。
- 通过yum源安装clamav-update组件。
yum install -y clamav-update
clamav-update组件已设定好定时任务,每隔8小时自动下载最新病毒库,安装后也可通过执行如下命令更新病毒库。
freshclam
图1 更新病毒库
ClamAV工具参数说明如表1所示。
表1 clamscan命令参数说明 是否常用
参数
释义
是
-h/--help
查看帮助。
是
-l FILE/--log=FILE
将扫描报告保存到FILE。
是
-r/ --recursive[=yes/no(*)]
递归扫描,即扫描指定目录下的子目录。
是
--copy=DIRECTORY
将受感染的文件复制到DIRECTORY中。
是
-i/--infected
仅打印被感染的文件。
是
--quiet
仅输出错误消息。
否
--official-db-only[=yes/no(*)]
只加载官方签名。
否
--max-filesize=#n
将跳过大于此的文件并假定为干净。
否
--max-scansize=#n
要扫描每个容器文件的最大数据量。
否
--leave-temps[=yes/no(*)]
不要删除临时文件。
否
-f FILE/--file-list-FILE
从文件中扫描文件。
否
--bell
病毒检测的响铃。
否
-cross-fs[=yes(*)/no]
扫描其他文件系统上的文件和目录。
否
--bytecode-timeout=N
设置字节码超时(以毫秒为单位)。
否
--heuristic-alerts[=yes(*)/no]
切换启发式警报。
否
--alert-encrypted[=yes/no(*)]
警告加密档案和文件。
否
--nocerts
在PE文件中禁用authenticode证书链验证。
否
--disable-cache
禁用继存和缓存检查扫描文件的哈希值。
否
-d FILE/DIR/--database=FILE/DIR
以指定的文件作为病毒库,代替默认的/var/clamav目录下的病毒库文件。
否
--move=DIRECTORY
把感染病毒的文件移动到指定目录。
否
--removes[=yes/no(*)]
删除感染病毒的文件。
更新病毒库前后结果对比
执行以下命令进行对比。
clamscan -i -r /var/log/ -l clamav.log
