ClamAV 1.0.7 内存分配问题排查与正则表达式陷阱分析

在 Ubuntu 24.04.1 LTS 系统上运行 ClamAV 1.0.7 版本时，用户遇到了一个棘手的问题：clamscan 和 clamd 服务均报告"Can't allocate memory"错误而无法正常工作。经过深入排查，发现这实际上是一个由特定格式的正则表达式签名引起的隐蔽问题。

问题现象

用户在执行病毒扫描时遇到内存分配错误，错误信息显示：

ERROR: Can't allocate memory

尽管扫描统计信息显示加载了超过200万条病毒特征，但实际上扫描过程并未真正执行。

排查过程

通过分析用户提供的配置信息，发现系统加载了自定义的whitelist.wdb文件，其中包含用于钓鱼网站检测的正则表达式规则。进一步检查发现，问题根源在于这些正则表达式的特定格式。

问题根源

ClamAV 在处理WDB（白名单数据库）文件时，使用了一个内置的基础正则表达式引擎，而非PCRE2引擎。这与许多开发者习惯使用的现代正则表达式测试工具（如regex101.com）存在兼容性差异。

具体问题出现在以下两种格式的正则表达式中：

1. 对连字符"-"的不必要转义（如sls\-direkt）
2. 对特殊字符"/"和"?"的过度转义（如[\/?]）

解决方案

正确的正则表达式格式应为：

X:.+(facebook|twitter|instagram|youtube|play\.google|apps\.apple)\.com([/?].*)?:.+mailing\.(sparkasse|sls-direkt)\.de([/?].*)?:17-
X:.+(sparkasse|sls-direkt)\.de([/?].*)?:.+mailing\.(sparkasse|sls-direkt)\.de([/?].*)?:17-

关键修正点：

1. 移除了连字符"-"前的转义符
2. 移除了字符类中"/"和"?"前的转义符
3. 将签名权重从":0-"改为推荐的":17-"

技术背景

ClamAV 使用两种不同的正则表达式引擎：

1. 对于钓鱼签名（WDB和PDB签名），使用内置的基础正则引擎
2. 对于逻辑模式匹配签名（LDB签名），使用PCRE2引擎

这种双引擎设计导致了开发者在使用不同测试工具时可能遇到的兼容性问题。特别是当开发者使用PCRE2模式的测试工具（如regex101.com的PHP PCRE2模式）验证正则表达式时，可能会产生与ClamAV实际处理时不同的结果。

经验总结

1. 在编写ClamAV白名单规则时，应特别注意正则表达式的兼容性
2. 避免对字符类中的常规字符进行不必要的转义
3. 使用ECMAScript（JavaScript）模式而非PCRE2模式来测试正则表达式
4. 始终为钓鱼签名设置适当的权重值（推荐":17-"而非":0-"）

改进建议

对于ClamAV项目：

1. 改进错误提示信息，使其能更准确地指出签名加载失败的具体原因
2. 考虑统一正则表达式引擎，减少兼容性问题
3. 在文档中明确说明不同签名类型使用的正则引擎差异

对于开发者：

1. 仔细阅读ClamAV官方文档中的正则表达式规范
2. 在测试正则表达式时，选择与目标环境匹配的测试模式
3. 保持签名文件的简洁性，避免不必要的转义字符

这个案例展示了开源软件使用中常见的一个问题：工具链中的兼容性差异可能导致看似正确的代码在实际运行时失败。理解底层技术实现细节对于解决这类问题至关重要。