在防病毒世界中,签名是唯一标识特定病毒的算法或散列(从一串文本派生的数字)。根据所使用的扫描仪的类型,它可以是静态哈希,其最简单的形式是病毒特有的代码片段的计算数值。或者,不太常见的是,算法可以是基于行为的,即,如果该文件试图做X,Y,Z,则将其标记为可疑并提示用户做出决定。根据防病毒供应商的不同,签名可以称为签名,定义文件或DAT文件。
单个签名可能与大量病毒一致。这使扫描仪能够检测到以前从未见过的全新病毒。这种能力通常被称为启发式或通用检测。通用检测不太可能有效对抗全新病毒,并且更有效地检测已知病毒“家族”的新成员(一组共享许多相同特征和一些相同代码的病毒)。鉴于大多数扫描仪现在包括超过250k的签名并且发现的新病毒数量逐年显着增加,因此启发式或一般性检测的能力是重要的。
重复发生需要更新
每次发现新病毒时,现有签名无法检测到该病毒,或者可能检测到但由于其行为与先前已知的威胁不完全一致而无法正确删除,因此必须创建新签名。在新的签名由防病毒供应商创建和测试之后,它将以签名更新的形式推送给客户。这些更新为扫描引擎添加了检测功能。在某些情况下,先前提供的签名可能会被删除或替换为新签名,以提供更好的整体检测或消毒功能。
根据扫描供应商的不同,可能每小时,每天或有时甚至每周提供更新。提供签名的大部分需求随扫描仪的类型而变化,即扫描仪的检测费用是多少。例如,广告软件和间谍软件并不像病毒那样多产,因此通常广告软件/间谍软件扫描程序可能只提供每周签名更新(甚至更少)。相反,病毒扫描程序必须应对每个月发现的数千个新威胁,因此,应至少每天提供签名更新。
当然,为每个发现的新病毒发布单独的签名是不切实际的,因此防病毒供应商倾向于按照既定时间表发布,涵盖他们在该时间段内遇到的所有新恶意软件。如果在定期更新之间发现特别普遍或威胁性的威胁,供应商通常会分析恶意软件,创建签名,对其进行测试并在带外发布(这意味着在正常更新计划之外发布它) )。
要保持最高级别的保护,请配置防病毒软件以尽可能多地检查更新。保持签名的最新状态并不能保证新的病毒永远无法通过,但确实不太可能。
