ClamAV 1.5.1 发布：修复 PE 文件扫描性能及 ZIP 归档问题

ClamAV 1.5.1 正式发布啦！它由 Cisco Talos 团队开发，是思科旗下一款非常受欢迎的开源防病毒引擎，能够有效识别并拦截木马、病毒、恶意软件等多种威胁。

ClamAV 常用于 Linux 邮件服务器、Web 服务器和文件服务器等场景，支持多种文件格式和签名语言，具备病毒数据库自动更新功能，能够全方位守护你的系统安全。

ClamAV 1.5.1 主要更新

本次更新是一次快速响应的「补丁版本」，主要修复了 1.5.0 中存在的性能瓶颈和关键 Bug。

修复了扫描特定 PE 文件时出现的严重性能下降问题：此前，在扫描 Windows 可执行文件时，遇到明显卡顿的用户，将在新版本中感受到明显的性能回升。
修正了一个与 ZIP 文件相关的误报问题：当用户在 ClamScan 中使用--alert-exceeds-max选项，或在 ClamD 中启用AlertExceedsMax设置时，扫描某些 ZIP 文件会错误触发_Heuristics.Limits.Exceeded.MaxFiles警报。该问题曾导致处理大型或嵌套 ZIP 文件的用户，遇到不必要的扫描中断。
优化了对 TNEF 格式电子邮件附件的扫描性能，处理速度明显提升。
修正了 OOXML Office 文档元数据的记录方式；并修复了 OLE2 文件中，VBA 签名检测的缺陷——这 2 项改进有助于避免扫描结果不完整或漏报的情况。
ClamAV 团队适度放宽了对嵌入式文件识别过于严格的规则，并提高了在 PE 文件内部嵌套 PE 文件的检测深度上限。不仅增强了引擎的深度扫描能力，也有助于减少误报。
本次更新还修复了处理嵌入在其他文件中的 RAR 时，可能出现的问题；并升级了多个 Rust 库依赖，以解决影响特定图像文件的模糊哈希问题。

本次更新的一大核心亮点，是加入了兼容 FIPS 的签名验证机制，用来验证 CVD 病毒数据库和 CDIFF 补丁文件的真实性：

系统现在会为 daily、main 和 bytecode 数据库使用外部的_.cvd.sign文件签名，这些文件会由 Freshclam 或 CVDUpdate 自动下载；
如果暂时无法获取签名文件，ClamAV 也会自动回退到传统的基于 MD5 的 RSA 验证方式。

在安全性方面，ClamAV 1.5.0 也进行了多项改进：

使用更安全的 SHA2-256 哈希算法，替代了之前基于 MD5 的干净文件缓存机制，解决了长久以来的弱加密算法隐忧；
新增FIPSCryptoHashLimits配置选项，在 FIPS 模式运行时，对哈希算法施加更严格的限制（禁用 MD5 和 SHA1），确保在使用 FIPS 算法的系统中可以合规运行。

除了安全合规性提升，ClamAV 1.5.0 在易用性和配置上也做了不少优化：

Freshclam、ClamD、ClamScan 和 Sigtool 现在共享一个新的--cvdcertsdir选项，用于设置自定义证书目录。管理员可以通过「配置文件」或「环境变量」定义这些路径，为企业级部署带来了更高灵活性；
扫描精度也得到了提升：ClamScan 现在会以 GiB、MiB、KiB 或 B 为单位报告文件大小，提供的是精确值，而不是以往的 MB 四舍五入值；
新增了--log-hash、--hash-alg和--file-type-hint等命令行选项，能更好地控制扫描过程中的「哈希值」和「文件类型」处理，以及日志记录方式。

在底层实现方面，ClamAV 1.5.0 为libclamav库新增了多个公共 API，让开发者能更深入地控制签名验证、解包和扫描流程：

一组全新的「扫描回调函数」允许外部程序挂接到扫描过程的特定阶段，比如哈希计算前、扫描前后、发现威胁时或文件类型变化时；
其他改进包括：OnAccessExcludePath选项开始支持正则表达式；新增了对 HTML 和 PDF 文件中 URI 元数据的记录功能；
针对需要生成「扫描元数据」的用户，JSON 输出格式也进行了优化。现在的 JSON Schema 可以明确区分强指标、潜在不受欢迎指标和弱指标，让扫描结果的解析更加轻松。