Как создать подпись байта для ClamAV?

Question

Я хочу получить последовательность байтов из .text-раздела объектного файла и превратить его в подпись. Я хочу выполнить ClamAV clamscan с этой сигнатурой, чтобы найти другие объектные файлы, содержащие одну и ту же последовательность байтов. С objdump последовательность байт выглядит следующим образом:

последовательность байт для этого примера может выглядеть следующим образом:

55 48 89 e5 48 83 есы 10 бфа 0a 00 00 00 e8 ?? ?? ?? ?? 48 89 45 f8 c9 c3

a ?? место место владелец.

Я не нашел способ сделать это с помощью sigtool. Есть ли другой инструмент для этого, или мне нужно сделать это вручную, и если да, то в какой форме мне нужно сохранять подписи (формат в базе данных подписи и формат самой базы данных)?

Answer 1

Мне пришлось написать скрипт, который выполнял эту задачу вручную. Я не нашел способ, которым sigtool может это сделать для меня. Скрипт пропустил objdump и заменил байты переменной. Я сохранил результат в базе данных, и с этой базой данных я мог идентифицировать, какая библиотека была связана статически, используя clamscan в двоичном режиме (даже если кто-то удаляет имена библиотек).