ClamAV Virendatenbank in X-Ways etc. verwenden

Der Gedanke direkt im forensischen Programm eine aktuelles Viren-Hashset zu haben lag mir schon länger im Kopf. Eher durch Zufall bin ich darauf gestoßen das in den Virusdefinitionen von ClamAV die allseits bekannten MD5 Hashes verwendet werden. Wie man diese Hashes in sein X-Ways (oder jedes andere Forensik-Tool) bekommt liest du hier. 

Als erstes benötigen wir die Virusdefinitionen welche man von den Servern die hinter dem DNS Eintrag „http://database.clamav.net/“ stehen downloaden kann:

1
2

Wie gesagt: „Servern“ – Verfügbarkeit und Geschwindigkeit variieren stark.

 

Als nächstes wird ClamAV benötigt. Das Gesamtpaket bringt ein kleines Tool mit welches die CVD Dateien auspacken kann. Ohne Kommandozeile funktioniert nichts. Linux als Grundlage würde ich empfehlen.

1
2
# sigtool –unpack main.cvd
# sigtool –unpack daily.cvd

Nach dem entpacken gibt es einige neue Dateien im Verzeichnis, relevant für uns sind:

  • fp: MD5 Hashes bekannter unverdächtiger Dateien
  • hdb: MD5 Hashes von bekannten Schadprogrammen

 

Die Hashwerte stehen jeweils am Anfang der Zeile sodass man unter Linux mit

1
2
3
4
# cut -c-32 main.hdb > main-notable.md5
# cut -c-32 main.fp > main-known.md5
# cut -c-32 daily.hdb > daily-notable.md5
# cut -c-32 daily.fp > daily-known.md5

schnell zum Ergebnis kommt. Windows Puristen haben spätestens mit OpenOffice – Calc auch Erfolg.

Die Ergebnisse müssen natürlich noch zusammengefügt werden, plus ein „MD5“ Header der von X-Ways gefordert wird.

1
2
3
# echo „MD5“ > md5head.txt
# cat md5head.txt main-notable.md5 daily-notable.md5 > clamav-notable.md5
# cat md5head.txt main-known.md5 daily-known.md5 > clamav-known.md5

Unter Windows nimmt man schlicht den copy Befehl. Für den Header gibt es ein passendes Tool im Download-Bereich.

 

Die HashSets können jetzt wie bekannt importiert werden. Ergebnissen aus diesen HashSets sollte man allerdings nicht blind vertrauen. Normalerweise werden durch den Scanner noch Signatur und andere Merkmale geprüft und MD5 Kollisionen können durchaus vorkommen.