Signaturbaserad detektion av skadlig programvara förlitar sig på att identifiera känd skadlig programvara genom att jämföra dess egenskaper (dess "signatur") mot en databas med känd skadlig kod. Tänk på det som ett fingeravtryck för ett virus.
Här är en uppdelning:
* Signatur: Detta är en unik kodstycke, en specifik sekvens av byte eller ett specifikt mönster inom skadlig kod. Det är en egenskap som unikt identifierar en viss bit av skadlig programvara. Detta kan vara:
* En specifik textsträng i koden.
* En unik instruktionssekvens.
* En specifik filhash (MD5, SHA-1, SHA-256). Det här är kryptografiska kontrollsummor som unikt identifierar filens innehåll.
* databas: Antivirusprogram och andra säkerhetsprodukter upprätthåller omfattande databaser över dessa signaturer. Dessa databaser uppdateras ständigt av säkerhetsforskare när ny skadlig programvara upptäcks.
* detektion: När en fil eller process uppstår jämför säkerhetsprogramvaran sina egenskaper mot signaturerna i dess databas. Om en matchning hittas identifierar programvaran filen eller processen som skadlig.
Begränsningar av signaturbaserad detektion:
* nolldagarnas exploater: Signaturbaserad detektion är ineffektiv mot ny skadlig programvara (nolldagars skadlig programvara) som inte har sett tidigare och därför inte har någon signatur i databasen.
* polymorf och metamorf skadlig programvara: En del skadlig programvara ändrar sin kod något varje gång den infekterar ett system (polymorf) eller förändrar grundläggande dess struktur (metamorf), vilket gör det svårt att upptäcka att använda signaturer ensam.
* heuristisk analys behövs för okänd: Om en signatur inte hittas kan den inte upptäcka okänd skadlig programvara.
Medan signaturbaserad upptäckt är en avgörande första försvarslinje, används den ofta i samband med andra metoder som heuristisk analys (letar efter misstänkt beteende) och maskininlärning för att ge mer omfattande skydd.
