【问题标题】:Hexadecimal virus signatures database十六进制病毒特征库
【发布时间】:2026-02-17 03:05:02
【问题描述】:

在过去的几周里,我一直在开发一个简单的病毒扫描程序。它工作得很好,但我的问题是有人知道我在哪里可以获得一个数据库(单个文件),其中包含 8000 个或更多病毒签名及其名称,可能还有风险计量器(高、低、未知)?

【问题讨论】:

    标签: database virus-scanning virus-definitions


    【解决方案1】:

    试试ClamAV 数据库。这还包括一些更复杂的签名,但有些只是字节序列。

    CVD 文件格式是一个压缩的 tar 文件,带有一个头块;标题信息见here,真正的细节见this PDF

    据我了解,你应该可以解压

    dd if=file.cvd bs=512 skip=1 | tar zxvf -
    

    这将解压成各种文件的集合;对于具有简单十六进制签名的文件,这些将在扩展名为 .db 的文件中找到。并非所有这些签名都是纯十六进制的——其中许多都包含通配符,例如 ?? 表示“此处允许任何字节”,* 表示“此处允许任意数量的中间字节”,(-4096) 表示“最多允许这里有 4k 的中间字节”,等等。

    【讨论】:

    • 那么我该如何解压 cvd 文件或者至少查看它的内容呢? BTW 是十六进制或 md5 的签名,因为 md5 不适用于我的情况。
    • @Seif:已更新。 CVD 档案中的不同文件包含不同的签名类型。
    • @Jeffrey 那么,如何打开 .cvd 存档? Winrar 说它已损坏或其他原因。
    • @Seif 如果去掉前 512 个字节,它就是标准的 .tar.gz 存档。
    • @Jeffrey:谢谢,我可以在删除前 512 个字节后打开它!