防病毒软件的字符串/签名比较

Question

基于签名的防病毒软件是否将每个当前扫描的文件与数据库中存在的所有字符串/签名进行匹配？是否需要遍历所有签名才能将它们与文件进行比较？比较是从“数据库到文件”而不是从“文件到数据库”进行的，是这样吗？

第二个问题：是否可以先通过AV引擎从文件中提取字符串/签名（不是整个文件的哈希值），然后查看该字符串是否在数据库中？有已知的 AV 这样做吗？

Answer 1

通常，这是如何完成的，已知病毒签名的数据库用于构建状态机（通常与 Aho-Corasick 字符串搜索算法）。然后，每个要检查的文件都通过状态机运行。事实证明，速度快得惊人，因为只需一次浏览文件就可以找到所有匹配的病毒签名。