Originally posted by MikeR
2 schuss спрошу по другому, никто не в курсе на какие действия натаскан этот анализатор ?
Под дос программил ?

если в коде стоит перехват ИНТ21 с кодом типа
cmp ax,4b

или чем-то типа

cmp ax, win32openFilea

, тоь АВП считает что это - ВИРУС.

Т.к. нормальной программе мониторить открытие или особенно запуск файлов явно ни к чему не надо .

там конечно все несколько сложнее но принцип тот же - попытка анализироввать ЧАСТЬ кода (в основном стартовую) испольняемого фала.
Я в принципе сразу этот эвристиек отрубаю - так как смысла немного а производительность жрет дай боже.