clamavを結構使っているのだが、特定ファイルが誤検知(かっこよく言うとfalse positive)される時があり、その対処方法。
特定の定義を除外する方法は、こっち
結構前にも調べたことがあったけど、その時は出来なかった気がしたのでclamav自体のバージョンも関係するかもしれない。
自分の環境は以下、centos7でたぶんepelから入れている。
|
1 2 |
$ clamscan -V ClamAV 0.98.7/22269/Thu Sep 29 06:39:27 2016 |
除外方法は、clamavのパターンファイルが入るディレクトリに、whitelist.fpってファイルを作って、その中に対象ファイルのハッシュ値をsigtoolコマンドで取得して入れる。
|
1 2 3 4 5 6 |
### ハッシュ値のつくりかた $ sigtool --sha1 sample.pdf 2759b1c187e5c4b80d891bd6672824522eca588f:7508:sample.pdf ### ハッシュ値をwhitelist.fpに入れる # sigtool --sha1 sample.pdf > /var/lib/clamav/whitelist.fp |
自分の環境では、パターンファイルディレクトリは、/var/lib/clamavだった。
たぶんwhitelist.fpのファイル名は、拡張子さえ(.fp)になってればなんで良さそう(未検証)。
あと、clamdの場合はデーモンの再起動が必要。
知ってみれば意外と簡単だった。
日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)