新的 AV 公司如何处理特征数据库？

Question

反病毒公司需要处理两个方面的问题，

签名本身已经非常标准化（具有量化的误报特征）。
该技术将是专有的，并控制签名的使用方式。

因此，一家新公司会从某个来源获取一个标准数据库，然后“运行”其自定义翻译器，将其转换为可与其实施兼容的数据库。
该公司将根据他们的要求，在易于转换和实施优化之间取得平衡。

以下是一些可供进一步阅读的参考资料，

SNORT 规则：Sourcefire 漏洞研究团队™ (VRT) 规则
编写 ClamAV 签名. Alain Zidouemba。2009 年 3 月 4 日（PDF 文件）
PE信号（链接自这里除其他事项外）
- PE Sig 是一款用 Ruby 编写的工具，用于为可移植可执行文件生成 ClamAV® 签名。
  有关 PE Sig 的更多信息，请查看 Brian Caswell 在VRT博客

Answer 1

反病毒公司需要处理两个方面的问题，

签名本身已经非常标准化（具有量化的误报特征）。
该技术将是专有的，并控制签名的使用方式。

因此，一家新公司会从某个来源获取一个标准数据库，然后“运行”其自定义翻译器，将其转换为可与其实施兼容的数据库。
该公司将根据他们的要求，在易于转换和实施优化之间取得平衡。

以下是一些可供进一步阅读的参考资料，

SNORT 规则：Sourcefire 漏洞研究团队™ (VRT) 规则
编写 ClamAV 签名. Alain Zidouemba。2009 年 3 月 4 日（PDF 文件）
PE信号（链接自这里除其他事项外）
- PE Sig 是一款用 Ruby 编写的工具，用于为可移植可执行文件生成 ClamAV® 签名。
  有关 PE Sig 的更多信息，请查看 Brian Caswell 在VRT博客

相关内容