Clamav逻辑签名生成

Question

我正试图为我拥有的恶意软件数据集生成clamav签名。

最初，我识别了一些字符串，这些字符串在一类恶意软件中非常突出，因此会考虑这些字符串，并使用下面的方法生成ldb签名。

签名的名称，引擎版本，目标为0。我们还有'x'数的子签名，这里x是100个，每个都有逻辑或。所有字符串都转换为十六进制表示。下面是生成的示例。

冲压.签名；发动机:0-500，Target:0;0|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31|32|33|34|35|36|37|38|39|40|41|42|43|44|45|46|47|48|49|50|51|52|53|54|55|56|57|58|59|60|61|62|63|64|65|66|67|68|69|70|71|72|73|74|75|76|77|78|79|80|81|82|83|84|85|86|87|88|89|90|91|92|93|94|95|96|97|98|99;636f6e6e6;686b65795;363530393;52656c656;633a5c5c7;436f6e766;313937313;6c6f63616;576169744;363337363;686b65795;353238363;736c65657;633a5c5c7;636f6e6e6;686b65795;633a5c5c7;737663686;363030363;633a5c5c7;313935353;633a5c5c7;636f6e6e6;6765746d6;536574437;313933393;686b65795;633a5c5c7;323232363;353537363;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;686b65795;353130363;64656c657;633a5c5c7;633a5c5c7;686b65795;53656e644;6b7975666;6c6f63616;494d41474;686b65795;686b65795;686b65795;696573716;737663686;313237303;363033353;363039383;686b65795;686b65795;633a5c5c7；686b65795;333139313;686b65795;437265617;686b65795;476574546;353631323;633a5c5c7;686b65795;496e74657;686b65795;686b65795;686b65795;686b65795;3f7365745;633a5c5c7;476574537;527063426;686b65795;686b65795;566572517;353630353;686b65795;4f70656e5;353138343;4c6f6f6b7;633a5c5c7;476574546;363139393;633a5c5c7;686b65795;353638333;676574707;6f6c65333;5065656b4;343230353;536574576;5c5c3f3f5;5265674f7;633a5c5c7;686b65795;686b65795

现在的问题是，如果有<=65子签名，那么一切都很好，但是，如果它们增加了，就会导致以下错误。

LibClamAV Error: cli_loadldb: The number of subsignatures (== 65) doesn't match the IDs in the logical expression (== 100)
LibClamAV Error: Problem parsing database at line 1
LibClamAV Error: Can't load ramnit.ldb: Malformed database
ERROR: Malformed database

ldb的签名是否仅限于65个条件？如果不是，是什么原因造成了这个问题，如何解决呢？

Answer 1

你到底为什么有这么多重复的子签名？！一旦你放弃了所有这些，你基本上就会把你的规则减半。您甚至可以考虑制定多个版本的这一规则，并将其分解为10-20个补贴。