我已将 EICAR 测试文件植入到应用程序中,该文件位于 C-ICAP SquidClamav 代理后面。代理将特定流量重定向到 ClamAV 进行病毒扫描。问题是该文件没有被标记为病毒,因为它是以小写形式接收的。当然,源文件是大写的,而且一旦下载,它就会被本地计算机的防病毒软件阻止。 所有相关方(应用程序、代理、clamav)作为单独的 pod 驻留在 Kubernetes 集群中。
我将 ClamAV 配置为保留临时文件。我扫描文件中的“eicar”字符串并打印输出: 我假设是代理正在修改文件。我如何验证并解决这个问题?
我想我找到了答案。文件的内容由 ClamAV 本身转换为小写,使用以下代码:https://opensource.apple.com/source/clamav/clamav-158/clamav.Bin/clamav-0.98/libclamav/textnorm.c.auto .html.
ClamAV 未检测到 EICAR 测试文件的问题一定是在其他地方。