Un buen anti-virus analiza en tiempo de ejecucion y usa un modulo de modo Kernel de tipo filtro del file system, eso es algo muy complejo a menos que ya tengas experiencia al respecto. El motor de analisis se basa minimamente en buscar firmas (es decir, conjuntos de bytes) que identifican a un malware, despues hay tecnicas mas avanzadas (heuristica, comportamiento, etc) pero mejor empezar por ahi.

No podes tener solamente hashes ya que un virus modifica a otros ejecutables ... estos cambian el hash, eso te sirve solo para una version X de un malware. Una firma es un poco mas potente.