在防病毒领域,签名是一种算法或散列(从一串文本中派生出来的数字),可以唯一标识特定的病毒。 根据所使用的扫描器的类型 ,它可能是一个静态哈希,最简单的形式是病毒特有的代码片段的计算数值。 或者,不太常见的是,该算法可能是基于行为的,即如果该文件试图执行X,Y,Z,则将其标记为可疑,并提示用户做出决定。 根据防病毒供应商的不同,签名可能被称为签名, 定义文件或DAT文件 。
一个签名可能与大量病毒一致。 这使得扫描仪能够检测到一种以前从未见过的全新病毒。 这种能力通常被称为启发式或通用检测。 通用检测不太可能对全新病毒有效,并且更有效地检测已知病毒“家族”(共享许多相同特征和一些相同代码的病毒集合)的新成员 。 鉴于大多数扫描仪现在包含超过25万个签名,并且发现的新病毒数量逐年大幅增加,因此启发式检测或统一检测的能力非常重要。
重新需要更新
每当发现新病毒不能被现有签名检测到,或者可能被检测到但由于其行为与先前已知的威胁不完全一致而不能被正确删除时,必须创建新的签名。 新防病毒软件供应商创建并测试新签名后,将以签名更新的形式将其推送给客户。 这些更新将检测功能添加到扫描引擎。 在某些情况下,以前提供的签名可能会被删除或被新的签名替换,以提供更好的整体检测或消毒功能。
根据扫描供应商的不同,可能会每小时或每天提供更新,有时甚至每周提供一次。 很多提供签名的需求随着扫描仪类型的不同而不同,即扫描仪负责检测的内容。 例如,广告软件和间谍软件几乎不像病毒那样多产,因此通常广告软件/ 间谍软件扫描程序可能只提供每周签名更新(或更少)。 相反, 病毒扫描程序必须应对每个月发现的数千个新威胁,因此应至少每天提供一次签名更新。
当然,为每个发现的新病毒发布一个单独的签名是不实际的,因此防病毒软件厂商倾向于按照既定的时间表发布,覆盖他们在该时间段内遇到的所有新恶意软件 。 如果在定期更新的定期更新中发现特别流行或威胁性的威胁,那么供应商通常会分析恶意软件,创建签名,测试它并带外发布(也就是说,将其发布到正常更新时间表之外)。
要保持最高级别的防护,请配置防病毒软件以便尽可能频繁地检查更新。 保持签名是最新的并不能保证新的病毒永远不会漏过,但它确实使它不太可能。
推荐阅读:
- 什么是假阳性?
- 病毒解释
- 免费的病毒清除工具和技巧