I samband med datavirus är en signatur ett unikt mönster av byte eller kod som identifierar en specifik virus- eller skadlig variant. Antivirusprogram använder dessa signaturer för att upptäcka och ta bort skadliga program. Tänk på det som ett fingeravtryck för ett virus.
Varje virus har unika egenskaper i sin kod. Antivirusföretag analyserar dessa virus och extraherar dessa unika kodavdrag (signaturerna). När en ny fil skannas jämför antivirusprogramvaran filens innehåll mot dess databas med kända virussignaturer. Om en matchning hittas, flaggar programvaran filen som infekterad.
Det är viktigt att notera att:
* Signaturer är inte idiotsäkra: Sofistikerad skadlig programvara kan vara polymorf (ändra dess kod för att undvika upptäckt) eller metamorf (fullständigt omorganisera dess kod samtidigt som funktionaliteten bibehålls). Dessa tekniker gör signaturbaserad detektion mindre effektiva.
* nolldagarnas exploater: Signaturer skapas * efter * ett virus upptäcktes. Detta innebär att nya virus (nolldagars exploater) initialt kan undvika upptäckt tills deras signaturer läggs till antivirusdatabaser.
* heuristik och beteendeanalys: Modern antivirusprogramvara förlitar sig också på heuristik (analys av kodbeteende) och beteendeanalys (övervakningsprogramåtgärder) utöver signaturbaserad detektion för att bekämpa dessa begränsningar. Dessa tekniker hjälper till att upptäcka även okänd skadlig programvara.
Kort sagt, en virussignatur är ett avgörande element i antivirusdetektering, men det är bara en bit av ett större och mer komplext system.
