使用MD5匹配病毒的技術可能不值得一提,但就目前來看這是種簡單有效又值得信賴的方法,簡單不用說了;有效是因爲現在大部分的病毒或者惡意程序都不是感染型的,發放出去後不會變化或者變化有限;值得信賴是因爲MD5誤報正常文件的機率可以忽略不計。
雖然MD5比較簡單,但用它來作爲病毒引擎的主要方式還有額外的工作,做好它並不容易。
首先要從各個信任的源頭那裏獲得病毒的MD5,有病毒樣本最好,沒有關係也不大。如果有病毒樣本,可以找另一些病毒公司交換這些樣本,這裏可以充當一箇中間商。大量的病毒樣本或者MD5當然還需要建立一個有效的管理系統和病毒庫的更新系統。另外,最好還要建立一個正常文件的MD5庫。
實際使用時,用MD5來做爲病毒引擎的主要病毒特徵碼會有一個問題:這個特徵碼的個數將會非常非常多,那麼它比採用其它方式的引擎更需要快速找到匹配的MD5的方法(這個匹配有可能很簡單,更容易利用硬件技術加速);另外,非常多的特徵碼的 加載時間和空間也是必須要考慮到的。
最後,當然要配合MD5做些輔助的手段,比如病毒匹配前的正常文件匹配過濾、特徵字符串的匹配(這個從以前的主角變成現在的配角,目前可以用在HTML這種易變換的文件上),解壓縮的支持等等。