在防病毒領域,簽名是一種算法或散列(從一串文本中派生出來的數字),可以唯一標識特定的病毒。 根據所使用的掃描器的類型 ,它可能是一個靜態哈希,最簡單的形式是病毒特有的代碼片段的計算數值。 或者,不太常見的是,該算法可能是基於行為的,即如果該文件試圖執行X,Y,Z,則將其標記為可疑,並提示用戶做出決定。 根據防病毒供應商的不同,簽名可能被稱為簽名, 定義文件或DAT文件 。
一個簽名可能與大量病毒一致。 這使得掃描儀能夠檢測到一種以前從未見過的全新病毒。 這種能力通常被稱為啟發式或通用檢測。 通用檢測不太可能對全新病毒有效,並且更有效地檢測已知病毒“家族”(共享許多相同特徵和一些相同代碼的病毒集合)的新成員 。 鑑於大多數掃描儀現在包含超過25萬個簽名,並且發現的新病毒數量逐年大幅增加,因此啟發式檢測或統一檢測的能力非常重要。
重新需要更新
每當發現新病毒不能被現有簽名檢測到,或者可能被檢測到但由於其行為與先前已知的威脅不完全一致而不能被正確刪除時,必須創建新的簽名。 新防病毒軟件供應商創建並測試新簽名後,將以簽名更新的形式將其推送給客戶。 這些更新將檢測功能添加到掃描引擎。 在某些情況下,以前提供的簽名可能會被刪除或被新的簽名替換,以提供更好的整體檢測或消毒功能。
根據掃描供應商的不同,可能會每小時或每天提供更新,有時甚至每週提供一次。 很多提供簽名的需求隨著掃描儀類型的不同而不同,即掃描儀負責檢測的內容。 例如,廣告軟件和間諜軟件幾乎不像病毒那樣多產,因此通常廣告軟件/ 間諜軟件掃描程序可能只提供每週簽名更新(或更少)。 相反, 病毒掃描程序必須應對每個月發現的數千個新威脅,因此應至少每天提供一次簽名更新。
當然,為每個發現的新病毒發布一個單獨的簽名是不實際的,因此防病毒軟件廠商傾向於按照既定的時間表發布,覆蓋他們在該時間段內遇到的所有新惡意軟件 。 如果在定期更新的定期更新中發現特別流行或威脅性的威脅,那麼供應商通常會分析惡意軟件,創建簽名,測試它並帶外發布(也就是說,將其發佈到正常更新時間表之外)。
要保持最高級別的防護,請配置防病毒軟件以便盡可能頻繁地檢查更新。 保持簽名是最新的並不能保證新的病毒永遠不會漏過,但它確實使它不太可能。
推薦閱讀:
- 什麼是假陽性?
- 病毒解釋
- 免費的病毒清除工具和技巧