I antivirusvärlden är en signatur en algoritm eller hash (ett tal som härrör från en textsträng) som unikt identifierar ett specifikt virus. Beroende på vilken typ av skanner som används kan det vara en statisk hash som i sin enklaste form är ett beräknat numeriskt värde för ett kodstycke som är unikt för viruset. Eller, mindre vanligt, kan algoritmen vara beteendebaserad, dvs om den här filen försöker göra X, Y, Z, flagga den som misstänksam och uppmana användaren till ett beslut. Beroende på antivirusleverantören kan en signatur kallas en signatur, en definitionfil eller en DAT-fil.
En enda signatur kan vara förenlig med ett stort antal virus. Detta gör det möjligt för skannern att upptäcka ett helt nytt virus som det aldrig ens har sett tidigare. Denna förmåga kallas ofta antingen heuristik eller generisk detektering. En generisk detektion är mindre sannolikt att vara effektiv mot helt nya virus och effektivare för att upptäcka nya medlemmar av ett redan känt virus "familj" (en samling virus som delar många av samma egenskaper och en del av samma kod). Möjligheten att upptäcka heuristiskt eller generellt är betydande, eftersom de flesta skannrar nu innehåller över 250k signaturer och antalet nya virus som upptäckts fortsätter att öka dramatiskt år efter år.
Det återkommande behovet att uppdatera
Varje gång ett nytt virus upptäcks som inte kan detekteras av en befintlig signatur eller kan detekteras men inte kan avlägsnas ordentligt eftersom dess beteende inte helt överensstämmer med tidigare kända hot måste en ny signatur skapas. När den nya signaturen har skapats och testats av antivirusleverantören, skjuts den ut till kunden i form av signaturuppdateringar. Dessa uppdateringar lägger till upptäcktskapaciteten för skanningsmotorn. I vissa fall kan en tidigare angiven signatur avlägsnas eller ersättas med en ny signatur för att erbjuda bättre övergripande detektering eller desinfektionskapacitet.
Beroende på avsökningsleverantören kan uppdateringar erbjudas varje timme eller dagligen eller ibland till och med varje vecka. Mycket av behovet att tillhandahålla signaturer varierar med typen av skanner den är, dvs med vilken den skannern är laddad med detektering. Adware och spyware är till exempel inte så effektiva som virus, vilket innebär att en adware / spyware-skanner bara kan ge uppdateringar per vecka (eller ännu mindre). Omvänt måste en virusskanner strida mot tusentals nya hot som upptäckts varje månad och därför bör signaturuppdateringar erbjudas åtminstone dagligen.
Naturligtvis är det helt enkelt inte praktiskt att släppa en enskild signatur för varje nytt virus som upptäckts. Antivirusleverantörer tenderar därför att släppa på ett schema som täcker all ny malware de har stött under den tidsramen. Om ett särskilt allvarligt eller hotfullt hot upptäcks mellan sina regelbundna uppdateringar, kommer leverantörerna typiskt att analysera malware, skapa signaturen, testa den och släppa den out-of-band (vilket innebär att släppa det utanför deras normala uppdateringsschema ).
För att behålla den högsta nivån på skydd, konfigurera din antivirusprogramvara för att söka efter uppdateringar så ofta som det tillåter. Att hålla signaturerna uppdaterade garanterar inte att ett nytt virus aldrig kommer att gå igenom, men det gör det mycket mindre troligt.
