Hvad er virussignatur?

Inden for anti-virus er en virussignatur en algoritme eller hashfunktion (et tal afledt af en tekststreng), der unikt identificerer en specifik virus.

Hvordan vises virussignaturer?

Afhængigt af hvilken type scanner, der bruges, kan virussignaturen være en statisk hash (den beregnede numeriske værdi af et kodestykke, der er unikt for virussen), eller mindre almindeligt kan algoritmen være adfærdsbaseret. . For eksempel, hvis denne fil forsøger at gøre noget usædvanligt, vil den blive markeret som mistænkelig, og brugeren bliver bedt om at træffe en beslutning. Afhængigt af antivirussoftwareudbyderen kan en virussignatur kaldes en signatur, definitionsfil eller DAT-fil.

Én signatur kan matche et stort antal vira. Dette gør det muligt for scanneren at opdage en helt ny virus, som den aldrig har set før. Denne evne kaldes ofte heuristisk eller generisk detektion (identifikation af et program eller en fil med funktioner eller adfærd, der ligner kendte skadelige programmer, såsom trojanske heste , bagdøre eller udnyttelser ).

Virussignaturer kan være statiske hash-funktioner eller adfærdsbaserede algoritmer

Dette er mindre effektivt mod helt nye vira, men er mere effektivt til at opdage nye medlemmer af en kendt virusfamilie (en virusfamilie er en samling af vira, der deler mange fælles karakteristika), og koden er den samme).

Denne evne er meget vigtig, da de fleste scannere i dag indeholder mere end 250.000 signaturer, og antallet af nye opdagede vira fortsætter med at stige kraftigt for hvert år, der går.

Har brug for periodiske opdateringer

Hver gang der opdages en ny virus, som den aktuelle signatur ikke kan detektere, eller er sporbar, men ikke kan fjernes korrekt, fordi dens adfærd ikke fuldt ud matcher etablerede trusler, tidligere kendt, er det nødvendigt at oprette en ny signatur.

Efter at den nye signatur er genereret og kontrolleret af antivirusleverandøren, leveres den til kunden som en signaturopdatering. Disse opdateringer tilføjer detektionsfunktioner til scanningsmotoren. I nogle tilfælde kan tidligere tilvejebragte signaturer fjernes eller erstattes med nye signaturer for at give bedre overordnet registrering eller fjernelse.

Det er nødvendigt med jævne mellemrum at opdatere signaturdatabasen

Afhængigt af udbyderen kan opdateringer leveres hver time eller dagligt, nogle gange endda ugentligt. Meget af behovet for signaturforsyning vil variere afhængigt af typen af ​​scanner, dvs. hvad scanneren er fokuseret på at opdage.

For eksempel er adware og spyware ikke nær så "proliferative" som virus, så typisk kan adware/spyware-scannere kun levere signaturopdateringer ugentligt (eller endnu sjældnere). I modsætning hertil står en virusscanner over for tusindvis af nyopdagede trusler hver måned, og signaturopdateringer bør derfor leveres mindst hver dag.

Det ville selvfølgelig være upraktisk at frigive en separat signatur for hver nyopdaget virus, så antivirusleverandører har en tendens til at frigive efter en fastlagt tidsplan, der dækker alt det Nye malware blev opdaget i løbet af den tidsramme. Hvis en trussel er særligt udbredt eller opdaget mellem regelmæssige planlagte opdateringer, vil leverandøren typisk analysere malwaren, oprette en signatur, teste den og frigive den uden for opdateringsplanen.

For at opretholde det højeste beskyttelsesniveau skal du konfigurere din antivirussoftware til at søge efter opdateringer regelmæssigt. At holde signaturer opdateret garanterer ikke, at en ny virus aldrig vil blive savnet, men det gør det mindre sandsynligt, at dette sker.