I samband med antivirus- och antispyware-programvara hänvisar en "signatur" till en unik identifierande data, vanligtvis en specifik bytesekvens eller ett hashvärde (som MD5, SHA-1, SHA-256), som är karakteristisk för ett känt skadligt program (virus, mask, trojan, spyware, etc.). Dessa signaturer är i huvudsak "fingeravtryck" som används för att upptäcka skadlig programvara.
Antivirusprogram fungerar genom att jämföra filer och processer på en dator mot en ständigt uppdaterad databas över dessa signaturer. Om en matchning hittas kan programvaran säkert identifiera filen eller processen som skadlig och vidta åtgärder (t.ex. karantän, radera, blockera exekvering).
Det finns olika typer av signaturer:
* filsignaturer: Dessa är signaturer härrörande från innehållet i den skadliga filen själv. De kan rikta in sig på specifika delar av koden, strängar i koden eller till och med filens övergripande struktur.
* Beteende signaturer: Dessa är mindre direkta och upptäcker skadlig * aktivitet * snarare än specifikt filinnehåll. De letar efter misstänkta åtgärder, till exempel försök att ändra systemfiler, nätverksanslutningar till kända kommando- och kontrollservrar eller ovanliga minnesåtkomstmönster. Dessa är avgörande för att detektera polymorf skadlig programvara (som ändrar dess kod för att undvika signaturbaserad detektion).
* heuristiska signaturer (eller heuristik): Dessa är regler eller mönster som beskriver egenskaper hos skadlig programvara snarare än specifika bytesekvenser. De används för att upptäcka ny eller okänd skadlig programvara som inte har en specifik signatur än. De är ofta mindre tillförlitliga men ger en grad av skydd mot nolldagarsattacker.
Effektiviteten av signaturbaserad detektion beror på kvaliteten och mängden signaturer i antivirusdatabasen. Även om det är effektivt mot känd skadlig programvara, kämpar signaturbaserad upptäckt mot nolldagars exploater och polymorf/metamorf malware som ständigt ändrar deras kod för att undvika upptäckt. Modern antivirusprogramvara kombinerar ofta signaturbaserad detektion med heuristisk analys, beteendeövervakning och andra tekniker för mer robust skydd.
