Представлен (http://www.clamav.net/lang/en/2013/09/19/clamav-0-98-has-bee.../) свободный антивирусный пакет ClamAV 0.98 (http://www.clamav.net/). Это первый значительный выпуск ClamAV после заключения сделки (http://www.opennet.me/opennews/art.shtml?num=37498) по покупке корпорацией Cisco компании Sourcefire, развивающей ClamAV и Snort. В настоящий момент размер антивирусной базы ClamAV составляет около 2.8 млн вирусных сигнатур, что в три раза больше, чем поставлялось в составе выпуска 0.97.0. База сигнатур вредоносных web-страниц включает почти 1.6 млн записей, что в 4.5 раза больше, чем в ClamAV 0.97.0.
Ключевые улучшения (https://github.com/vrtadmin/clamav-devel/blob/master/ChangeLog) ClamAV 0.97:- Добавлены новые виды сигнатур для файлов PDF, Flash и Java-классов. В сигнатуры на базе хэшей добавлена поддержка указания маски '*' в поле размера, указываемой, если размер неизвестен.
- Обеспечена поддержка распаковки и сканирования новых типов файлов, включая iso-образы в формате ISO9660 и самораспаковывающиеся архивы 7z. Значительно увеличена надёжность обработки PDF, улучшена поддержка работы с шифрованными PDF-файлами.
- Реализована проверка цепочки сертификатов для PE-файлов, снабжённых цифровой подписью. Если в базе доверия присутствует цифровая подпись для корневого сертификата удостоверяющего ценнтра, используемого для заверения файла, то PE-файл с корректной цифровой подписью помещается в белый список. Одновременно в базе присутствуют и данные о скомпрометированных сертификатах, которые следует отвергнуть. Отключить проверку можно директивой DisableCertCheck в clamd.conf;- В clamscan и clamd добавлены новые опции. Например, при помощи опции "-o" для clamscan и директивы "LogClean" для clamd теперь можно активировать вывод только заражённых и ошибочных файлов, скрывая не вызывающие проблем результаты, что полезно для выделения только важной информации при сканировании большого числа файлов;
- В API libclamav добавлены новые callback-вызовы для контроля процесса сканирования. Функции с префиксом "clcb_" позволяют разработчикам сторонних систем добавить свою логику в различные шаги процесса сканирования, без непосредственной правки кода библиотеки;
- Добавлена возможность установки дополнительных лимитов, многие из ранее жестко определённых ограничений теперь могут быть изменены из файла конфигурации;
- Оптимизация производительности: новая версия примечательна использованием маппинга в память в процессе сканирования и распаковки, ускорением кода A/C-сопоставления и задействованием более высокопроизводительной библиотеки математических фунуций tomsfastmath вместо libtommath;
- Реализация режима проверки на лету, путем отслеживания фактов создания или модификации файлов, переведена с Clamuko и драйвера Dazuko (http://dazuko.dnsalias.org) на использование технологии fanotify. Связанные с Clamuko настройки объявлены устаревшими.
URL: http://blog.clamav.net/2013/09/clamav-098-has-been-released....
Новость: http://www.opennet.me/opennews/art.shtml?num=37960
> переведена с Clamuko и драйвера Dazuko на использование технологии fanotify.т.е. про работу on-access сканирования во FreeBSD можно забыть ?
да кому это нужно ... всегда на фряхе можно касперыча нагреть
> т.е. про работу on-access сканирования во FreeBSD можно забыть ?Сыско гасит конкурента.
Полагаете, clamav можно вот так взять и запустить на junos?
> Полагаете, clamav можно вот так взять и запустить на junos?А причём тут junos ?
Интересно, насколько он отстал от какого нибудь бесплатного аваста по количеству?
на уровне
там тесты под виндой, виндовая версия немного проигрывает линуксовой
h ttp://interface31.ru/tech_it/2012/12/ekspress-testirovanie-besplatnyh-antivirusov.html
Весьма сомнительный тест, т к комодо вдруг на втором месте с эффективностью 97 с чем-то %
По другим тестам он всегда сливался
1. Ничего удивительного. В Comodo очень сильно сделано отслеживание, куда программа лезет. Соответственно, очень много ложных срабатываний/предупреждений. Удобен, когда надо пользователю закрутить гайки по самое не хочу. Домашнего пользователя сильно нервирует т.к. почти любое поползновение за пределы домашней папки вызывает у антивирусника бурю возмущения.2. Сравнение ClamAV с другими антивирусниками под виндой не совсем корректно т.к. он ловит только по сигнатурам, а другие еще используют поведенческий анализ (как теперь любят говорить - проактивную защиту)
- Антивирусы ушибленное на одно место зло. Вместо того, чтобы обеспечить безопасность на низкоархитектурном уровне, как в Linux, эмэсовцы уже раздули поток диффов на своё решето до устрашающих >300 Мб трафика в год, - Задумчиво выдохнул Кэп. - Остальные ничем не лучше, и единственный, не отвечающий за чужие грехи, Клэм здесь никаким боком не при делах.
http://www.comss.ru/page.php?id=1531
Решето же?
> Вместо того, чтобы обеспечить безопасность на низкоархитектурном уровне, как в Linux, эмэсовцы уже раздули поток диффов на своё решето до устрашающих >300 Мб трафика в годАга. В Linux local root уязвимости не втречаются вобще. Android это вобще скала (тоже ведь linux). Каие трояны под Android? О чем Вы говорите?
Для него очень мало свободных вирусов.
Надо открыть проект по сбору пожертвований "на свободные вирусы". Пора уже выбивать проприетарщину и из этой ниши.
Надо подумать куда сделать обязательный вывод имен авторов, текста лицензии и, возможно, ссылки на исходники? Не будет ли это несколько подозрительно?
Почему то вспомнился вирус испортивший фабрику в Иране который нарушал GPL.
Кламаф ваще хардкорный стал, при трафике 1000 писем в минуту процык грузит на 100%.
В паре почтовиком под него уже отдельный комп заводить нужно.
Проц процу рознь. У кого-то древний Celeron 800MHz, а у кого-то и пачка последних зионов...
Так который из них clamav на 100% грузит? :)
> Так который из них clamav на 100% грузит? :)оба...
засадить в виртуальную машину с лимитами!!
Чтобы производительность почтовика уперлась в авер?
Жаль что данное решение не асинхронное в виде *.so плагинаПробовали Zimbra Collaboration Server ?
> Жаль что данное решение не асинхронное в виде *.so плагина
> Пробовали Zimbra Collaboration Server ?Не, ну Zimbra (поставил, забыл - просто работает) - это не для нас.
8-ядерный Хион, 8-ядерный и7, 4-ядерный Оптярон, 2-ядерный Атомъ
У АМД с процами все круто: 7,4 ядерные камни выпускают :)
А ты его собери с максимумом векторизации. А ещё лучше - перепиши самую тяжёлую часть сканирования на OpenCL и пускай он видеокарту грузит. Сигнатуры можно сразу все в видеопамять забить (через маппинг, если так не влезет).
> А ты его собери с максимумом векторизации. А ещё лучше - перепиши
> самую тяжёлую часть сканирования на OpenCL и пускай он видеокарту грузит.
> Сигнатуры можно сразу все в видеопамять забить (через маппинг, если так
> не влезет).Циска купила, вот пущай и разгребают.
Ща эту версию посмотрим, что они там намутили.
> под него уже отдельный комп заводить нужноЭто только при проверке? Ну, не так страшно. А под Касперыча уже давно отдельный комп держать нужно, причем на все время работы, ибо Касперыч не предполагает, что комп юзеру нужен еще для чего-то, кроме ловли зловредов.
>> под него уже отдельный комп заводить нужно
> Это только при проверке? Ну, не так страшно.В принципе если кламав отшиб письмо "типа я busy", почтовик морозит на пару минут, и потом разгребает.
>А под Касперыча уже давно отдельный комп держать нужно, причем на все время работы...К несчастью, да. На работе столкнулся: пока не убил енто го?но, рисование на "электронной" доске было с лагом в 1,5-2 минуты. :(
> на "электронной" доске было с лагом в 1,5-2 минуты. :(Наверное, аутсорсили разработку в Эстонию. Эстонские тестировщики не заметили явных проблем.
>А под Касперыча уже давно отдельный комп держать нужноПо моему это байки. Любой антивирус с мониторингом в реальном времени будет сильно тормозить. А байка здесь то что тормозит только касперский.
тормозят все но только касперский впереди планеты всей по тормозам, и это не байка а стереотип. И судя по тому что вы не знаете откуда он вам меньше 20 лет.
Он просто не юзал его никогда даже на винде. Вот и я никогда не понимал зачем ломать или покупать какой-то там касперыч когда бесплатных альтернатив вагон.
касперский еще со времен МСДОСа был самым тормозным
> касперский еще со времен МСДОСа был самым тормознымВо времена MS-DOSа был aidstest.exe Лозинского, если не ошибаюсь, и anti-kot Котика.
>>А под Касперыча уже давно отдельный комп держать нужно
> По моему это байки. Любой антивирус с мониторингом в реальном времени будет
> сильно тормозить. А байка здесь то что тормозит только касперский.сто тридцать три раза правда :)
А рядом еще кламав на сквид натравить! Обана! Обана!
может поиск сигнатур тупо сделано, вот оно со временем и начинает себя проявлять.
зонд АНБ.
половину бинарников не распаковывает/детектит(точнее фалс-аларм на все что не может), 2/3 архивов - тоже. ну хоть 7-zip есть и то хлеб.
а сколько он жретЪ .... пц и постоянно что-то отсылает(феерические масштабы, аваст и ко отдыхают), отсылает и дерево сканирует, без спроса и джобов таких.
софт аудита постоянно за ж-у такого монстра хватает и смотреть без слез как оно что-то в кернел-спейсе или модулей пытается пропатчить а аудитор - не пущает и они дерутся часами - не для слабонервных :)
> софт аудита постоянно за ж-у такого монстра хватает и смотреть без слез
> как оно что-то в кернел-спейсе или модулей пытается пропатчить а аудитор
> - не пущает и они дерутся часами - не для слабонервных
> :)А еще он по ночам вылезает из компа и ест младенцев.
"Аудитор"-то поди тоже "зонд АНБ"?
не, софтин контроля целостности ОС под UX - мешками.
со времен создания их, почти.
одну из старейших вы знаете по кЕно, наверное. это был монстр tripwire, причем некоторые - его все еще используют ) остальные по-мигрировали кто куда )
>> Если в базе доверия присутствует цифровая подпись для корневого сертификата
>> удостоверяющего центра, используемого для заверения файла, то PE-файл с
>> корректной цифровой подписью помещается в белый список.Это стоит понимать так, что теперь в системе смогут обитать только вирусы, подписанные цисками негрософтом, орекелем, гуглом и прочими крупными зондостроителями? Параноики негодуют.
> Это стоит понимать так, что теперь в системе смогут обитать только вирусы,
> подписанные цисками негрософтом, орекелем, гуглом и прочими крупными зондостроителями?
> Параноики негодуют.Там в исходниках лежит такой файлик с названием "COPYING", в нем первая строчка "GNU GENERAL PUBLIC LICENSE", а вторая - "Version 2, June 1991". Это Вам ни о чем не говорит?
>Это стоит понимать так, что теперь в системе смогут обитать только вирусы, подписанные цисками негрософтом, орекелем, гуглом и прочими крупными зондостроителями? Параноики негодуют."Следует отличать неожиданное и ожидаемое вредоносное программное обеспечение. Такие программы, как Adobe Flash Player — это тоже вредоносное ПО, но устанавливается оно с разрешения пользователя". //Столлман в интервью Russia Today.
Ха встречал зловредов-адварей вполне себе подписанных, это давно уже не показатель безопасности.
Ну так я про то и говорю, что подписанную заразу он теперь трогать не будет, а будет добавлять ее в белый список.
Вопрос один:когда CLamav 0.98 появится в обновлениях Ubuntu 12.04?
На мой взгляд Клам антивирус http://antivirusoff.net/clamwin-free-antivirus.html неплох но tit есть над чем работать. Пока не пользуюсь.