一家新的互联网安全/防病毒初创公司如何准备其恶意软件数据库?我见过一些新产品能够检测出 10-15 年前流行的病毒。
答案1
反病毒公司需要处理两个方面的问题,
- 他们需要匹配的签名,以及
- 用于匹配签名的技术
签名本身已经非常标准化(具有量化的误报特征)。
该技术将是专有的,并控制签名的使用方式。
因此,一家新公司会从某个来源获取一个标准数据库,然后“运行”其自定义翻译器,将其转换为可与其实施兼容的数据库。
该公司将根据他们的要求,在易于转换和实施优化之间取得平衡。
以下是一些可供进一步阅读的参考资料,
- SNORT 规则:Sourcefire 漏洞研究团队™ (VRT) 规则
- 编写 ClamAV 签名. Alain Zidouemba。2009 年 3 月 4 日(PDF 文件)
- PE信号(链接自这里除其他事项外)
- PE Sig 是一款用 Ruby 编写的工具,用于为可移植可执行文件生成 ClamAV® 签名。
有关 PE Sig 的更多信息,请查看 Brian Caswell 在VRT博客
- PE Sig 是一款用 Ruby 编写的工具,用于为可移植可执行文件生成 ClamAV® 签名。