空洞文件

lseek()系统调用还允许文件偏移量超出文件长度

文件的大小是 4K(也就是 4096 个字节)，如果通过 lseek 系统调用将该文件的读写偏移量移动到偏移文件头部 6000 个字节处

意味着 4096~6000 字节之间出现了一个空洞，里面应该全是空字符‘\0’???

文件空洞部分实际上并不会占用任何物理空间，直到在某个时刻对空洞部分进行写入数据时才分配

应用场景

⚫ 在使用迅雷下载文件时，还未下载完成，就发现该文件已经占据了全部文件大小的空间，这也是空洞文件;下载时如果没有空洞文件，多线程下载时文件就只能从一个地方写入，这就不能发挥多线程的作用了;如果有了空洞文件，可以从不同的地址同时写入，就达到了多线程的优势;

⚫ 在创建虚拟机时，你给虚拟机分配了 100G 的磁盘空间，但其实系统安装完成之后，开始也不过只用了 3、4G 的磁盘空间，如果一开始就把 100G 分配出去，资源是很大的浪费。

未知病毒检测

通过对大量病毒的分析，可以掌握病毒的共性，并按照其发展衍生规律进行分类，总结病毒常用代码(这些代码是病毒存在、传播和发作的根本)，以文件中包含这些代码的加权统计值作为对未知病毒检测的依据，使用可执行文件格式知识分析启始代码，通过一定程度的反汇编和预测跳转，综合结果报告未知病毒。这种方法是建立在独特病毒描述语言基础上的，具有描述准确、误报率低等特点。