D:\work\today\ArcBombZIP\lib 0\book 0\chapter 0\doc 0\page 0 的目录
   
    2004-09-16  11:26       <DIR>          .
    2004-09-16  11:26       <DIR>          ..
    2004-09-16  11:26                    4,294,972,416 0.dll
   
    可见这个0.dll的大小为4G，其他所有的最低层包都是如此，即如果一个反病毒软件要检测完这个arcbombzip.zip需要 解出 165 =1048576个这样的4G文件，这足够导致反病毒软件扫描到这个文件时进入假死状态，而如果监控程序打开了检测包裹的开关。则av monitor会立即死机。

    0.dll有如此高的压缩比，是因为整个文件全部是AA，基于字典压缩自然会取得很高的压缩比。
    seg000:00000000  AA AA AA AA AA AA AA AA-AA AA AA AA AA AA AA AA ""
    seg000:00000010  AA AA AA AA AA AA AA AA-AA AA AA AA AA AA AA AA ""
    seg000:00000020  AA AA AA AA AA AA AA AA-AA AA AA AA AA AA AA AA ""

    如果一个反病毒引擎是一个简单的分支引擎，即在offset =0找到char=”PK”，就走入extract Archive模块，则不可避免的导致程序被DoS。而对一个递归引擎来说arcbombzip具有如下的平行特性（2进制数据流，ZIP文件）。根据我们正文中的优先原则，可以被2进制流分析器先行检测。

    如图，是通过Saker病毒分析机提取arcbombzip的特征。由于2进制流分析器给出了作为优先特性的病毒特征，因此不会走入extract Archive模块。