使用基于签名的技术编码防病毒

我想为学习目的编写一个防病毒程序。它将是基于签名的。我已经编写了一个扫描器，它循环遍历所有系统文件并为每个文件创建内存映射。我现在要做的是从每个恶意文件(示例文件)中获得二进制签名(十六进制)，这样我就可以将其与我创建的数据库进行比较。现在的问题是什么?我注意到，像卡巴斯基这样的商业反病毒软件，会从二进制文件中的任何位置选择文件签名。现在假设我检测到一个新的恶意文件，并选择偏移量0x8766，其值为0x4F作为该恶意文件的签名。现在，如果我想检查一个文件，它有一个小的大小，其中偏移量0x8766不存在于那个小文件..这将是一个问题?下面的示例代码代表了我要做的事情:

hFile = ::CreateFile(State.Path, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
                                 0, OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN, 0);//open the file
if(hFile !=INVALID_HANDLE_VALUE){
hMap= ::CreateFileMapping(hFile, 0, PAGE_READONLY | SEC_COMMIT, 0, 0, 0);//create Mem mapping for the file in virtual memory
if( hMap!=NULL){
base = ::MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);//load the mapped file into the RAM
//start to compare some bytes (values) from mspaint.exe file in Win7
if( *((BYTE *)base + 0x1C3DF0)== 0x05 )
i++; 
if( *((BYTE *)base + 0x25250C)== 0x21 )
i++;
if( *((BYTE *)base + 0x25272A)== 0x97 )
i++;
if(i==3){
// the file is malicious
}

另一个问题:在我开始比较之前，我需要在ram中映射整个签名数据库吗?你认为签名需要包含哪些内容?文件大小等等?还有其他建议吗