因为主要用到逻辑签名这里所以只列出一种

    逻辑签名特征库文件以.ldb结尾

    格式:

    SignatureName;TargetDescriptionBlock;LogicalExpression;Subsig0; Subsig1;Subsig2;… 
    

    举例:

    test.image;Engine:51-255,Target:0;0&1&2;502C606BF7;12C2B6F0;42794F21058D4924155E22B3F4323995
    

    0&1&2表示如果Subsig0; Subsig1;Subsig2的十六进制都匹配到则识别为病毒

    参考文章:
    https://blog.csdn.net/zourzh123/article/details/45719757
    http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html
    http://malwarefor.me/writing-signatures-for-clam-av-0-99-a-tutorial/