文件签名与病毒签名

Question

我想过要创建简单的防病毒软件。我读过一些文章，他们说有两种检测方法。

病毒字典签名搜索是其中一种方法。因此，我选择了这个方法来进行简单的实现。

从这一点，我已经了解到，我们必须搜索病毒的签名与文件。

文件签名和病毒签名有什么区别？

如果我已经保存了一个病毒文件，病毒签名将存储在该文件中。

如何将病毒签名模式与文件签名匹配？

如果有任何示例代码需要解释，我会更好地理解。

一些病毒签名链接。如何为此签名编写代码？http://www.nlnetlabs.nl/downloads/antivirus/antivirus/virussignatures.strings

http://codes-sources.commentcamarche.net/source/21418-antivirus-2004

http://www.clamav.net/

Answer 1

文件中没有病毒签名这样的东西。创建病毒的签名是使用恶意文件的各种属性来获取签名值的过程。在最简单的情况下，这可能只是一些散列，比如文件的MD5。但是，还可以具有更智能的签名，例如，跳过与病毒的功能无关的文件的部分，或者包含PE头的结构化信息或类似于签名。如何计算病毒文件的签名取决于AV引擎上的智能，通常是专有信息。

至于文件签名:有各种形式的文件签名，但在AV上下文中，它可能以计算恶意文件签名的方式计算未知文件的签名，然后检查该文件签名是否与恶意文件的任何已知签名匹配。如果是这样的话，未知的文件可能也是恶意的。但是，这些信息的确定程度取决于签名是如何计算的。