Исходя из своих догадок и опыта попытаюсь объяснить принцип работы проги Av Devil от SEDDTO.

Проверяя файл она создает какието тестовые .tmp файлы и если антивирус на них реагирует то продолжает поиски пока не дойдет до чистых значений. Вот так вот находятся сигнатуры... То есть работает даже на новых троянах и крипторах а также и с новыми антивирусами (хотя тут спорно, на моем KIS'е 7.0.0.125 не работал, а вот на Nod32 все норм... думаю на KAV будет рабить) Если разбемся... то поиски сигнатур можно будет сильно облегчить =)