Sto cercando di capire di più sugli algoritmi di hash MD5 e SHA1 e sul loro comportamento in un software di sicurezza serio ( trovato questo ma non mi ha aiutato di più ).
Perché ClamAV utilizza tecniche di scansione aggiuntive ( MD5 per una sezione specifica in un file PE, Wildcards, Firme di icone per PE fi les .... ) piuttosto che confrontare MD5 di un malware esistente?
Perché non sta solo calcolando l'hash MD5 dell'intero file? (Come so che le funzioni di hash MD5 e SHA1 sono estremamente accurate)
Non sto parlando di rilevamento euristico, poiché questo può essere fatto connettendosi alla chiamata API dell'eseguibile.