As empresas antivírus têm dois aspectos a serem tratados,
- as assinaturas que precisam corresponder e
- a tecnologia usada para corresponder assinaturas
As próprias assinaturas são bem padronizadas (com características falsas positivas quantificadas).
A tecnologia seria proprietária e governaria como as assinaturas são usadas.
Assim, uma nova empresa selecionaria um banco de dados padrão de alguma fonte e "executaria" seus tradutores personalizados para convertê-lo em um banco de dados que funcionasse com sua implementação.
A empresa atenderá ao equilíbrio entre a conversão fácil e a otimização para sua implementação.
Algumas referências para leitura adicional
- Regras SNORT : Regras da Equipe de Pesquisa de Vulnerabilidade da Sourcefire (VRT)
- Escrevendo assinaturas ClamAV . Alain Zidouemba. 4 de março de 2009 (arquivo de PDF)
-
PE Sig (link de aqui entre outras coisas)
- O PE Sig é uma ferramenta escrita em Ruby que gera assinaturas do ClamAV® para arquivos executáveis portáteis. Para mais informações sobre o PE Sig, leia o artigo de Brian Caswell no Blog da VRT