如何爲ClamAV創建一個字節簽名？

Question

我想從對象文件的.text節中獲取一個字節序列並將其轉換爲簽名。我想用此簽名執行ClamAV的clamscan以查找包含相同字節序列的其他對象文件。 隨着objdump的該字節序列看起來像這樣：

在這個例子中的字節序列可能看起來像這樣：

55 48 89 E5 48 83 EC 10 BF 0A 00 00 00 E8 ?? ?? ?? ?? 48 89 45 F8 C9 C3

的ΔΣ作爲佔位符。

我沒有找到一種方法與sigtool做到這一點。是否還有另外一個工具，或者我必須手動完成，如果需要，我需要保存簽名（簽名數據庫中的格式和數據庫本身的格式）嗎？

Answer 1

我不得不寫一個腳本這是由手工完成這個任務。我沒有找到一種方法sigtool可以爲我做到這一點。腳本通過objdump運行並替換了可變字節。我將結果存儲在一個數據庫中，通過這個數據庫，我可以識別哪個庫是以二進制模式使用clamscan靜態鏈接的（即使有人刪除了庫名稱）。