因为主要用到逻辑签名这里所以只列出一种
逻辑签名特征库文件以.ldb结尾
格式:
SignatureName;TargetDescriptionBlock;LogicalExpression;Subsig0; Subsig1;Subsig2;…
举例:
test.image;Engine:51-255,Target:0;0&1&2;502C606BF7;12C2B6F0;42794F21058D4924155E22B3F4323995
0&1&2表示如果Subsig0; Subsig1;Subsig2的十六进制都匹配到则识别为病毒
参考文章:
https://blog.csdn.net/zourzh123/article/details/45719757
http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html
http://malwarefor.me/writing-signatures-for-clam-av-0-99-a-tutorial/