浅析一下火绒杀毒

说明下：只是对火绒这款良心杀毒的好奇心而研究的。并没有什么恶意。希望火绒会越来越好。

火绒病毒库header结构如下：

红圈1：flag

红2：文件整体长度

红3：病毒库数量（建立索引数量）

红4：解压后的长度

红5：解压后去掉header后的长度

剩下是128个字节的解密key。

红6：flag。

prop是特征码的病毒库。

pset是病毒名称的病毒库。

pset中有多条索引对应prop。在prop中判断正确，则从pset中寻找对应的病毒名称。

关于火绒静态检测：

在发现特征码的病毒中，只要针对特征修改即可。如下：

再举个例子：

这个是命中4条特征：

特征1：67 65 7452 61 6E 64 6F 6D 49 50   

特征2：63 6F 6D6D 53 65 72 76 65 72  

特征3：73 65 6E64 4A 55 4E 4B 45

特征4：73 63 616E 50 69 64