Выделение сигнатуры

[Andy]

Насколько я знаю, в качестве сигнатуры у каждого вируса выделяют опередленный кусок кода, который, понятное дело, может быть расположен где угодно. Сейчас вроде для уменьшения размера стали считать хэш этих кусков. Так что это общее понятие. Дело сильно усложняется если вирус полиморфный/метаморфный. В простейшем случае нужно иметь эту сигнатуру (кусок байтов) в базе и зетем просто сравнить его с кодом программы. В IDA можно просто просмотреть конец исполняемого файла (при условии, что вирус записался туда) и сравнить визуально/программно.