A vírusvédelmi világban az aláírás egy algoritmus vagy hash (egy szövegsorból származtatott szám), amely egyedileg azonosít egy adott vírust. A használt szkenner típusától függően statikus hash lehet, amely a legegyszerűbb formában a vírushoz egyedülálló kódrészlet számított értéke. Vagy kevésbé, az algoritmus viselkedési alapú lehet, vagyis ha ez a fájl megpróbálja végrehajtani az X, Y, Z jelöléseket, gyanúsnak jelöli azt, és a felhasználót a döntéshez kérje. A víruskereső gyártóktól függően az aláírást aláírásnak, definíciós fájlnak vagy DAT fájlnak nevezheti.
Egyetlen aláírás nagyszámú vírusnak felel meg. Ez lehetővé teszi a lapolvasó számára, hogy felismerjen egy vadonatúj vírust, amelyet eddig soha nem látott. Ezt a képességet általában heurisztikának vagy általános észlelésnek nevezik. A generikus kimutatás kevésbé valószínű, hogy hatékonyan reagál a teljesen új vírusok ellen, és hatékonyabban érzékeli a már ismert vírus "család" új tagjait (olyan vírusok gyűjteménye, amelyek ugyanazokkal a jellemzőkkel és ugyanazon kóddal azonosak). Jelentős a heurisztikus vagy generikus észlelésre való képesség, mivel a legtöbb szkenner már több mint 250 k aláírást tartalmaz, és az újonnan felfedezett vírusok száma tovább növekszik drámaian évről évre.
Az újbóli szükségesség frissítésre
Minden olyan alkalommal, amikor egy új vírust fedeznek fel, amelyet egy létező aláírás nem észlel, vagy kimutatható, de nem távolítható el megfelelően, mivel viselkedése nem teljesen felel meg a korábban ismert fenyegetéseknek, új aláírást kell létrehozni. Miután az új aláírást a víruskereső gyártó hozta létre és tesztelte, az aláírási frissítések formájában az ügyfél alá kerül. Ezek a frissítések hozzácsatolják az észlelési képességet a keresőmotorhoz. Bizonyos esetekben egy korábban megadott aláírást el lehet távolítani vagy helyettesíteni egy új aláírással , hogy jobb általános észlelési vagy fertőtlenítési képességeket kínálhasson.
A letapogató szállítótól függően frissítések óránkénti vagy napi, esetenként akár hetente is felajánlhatók. Az aláírásra vonatkozó igény nagy része a szkenner típusa szerint változik, azaz azzal, amit a szkenner felderít. Például az adware és a kémprogramok nem olyan szaporítóak, mint a vírusok, ezért tipikusan egy adware / kémprogram-szkenner csak heti aláírásfrissítéseket (vagy ritkábban) nyújt. Ezzel szemben egy víruskeresõnek minden hónapban fel kell fednie a több ezer új fenyegetést, és ezért az aláírásfrissítéseket legalább naponta kell felajánlani.
Természetesen egyszerűen nem praktikus egy egyedi aláírást felszabadítani minden egyes új vírus felfedezésére, így a víruskereső gyártók hajlamosak felszabadítani egy meghatározott ütemezést, és lefedik az összes olyan új rosszindulatú programot, amelyet az adott időszakon belül találkoztak. Ha egy rendszeresen tervezett frissítések között különösen gyakori vagy fenyegető fenyegetést fedeznek fel, a gyártók jellemzően elemzik a rosszindulatú programokat, létrehozzák az aláírást, tesztelik és kiadják a sávon kívül (ami azt jelenti, ).
A legmagasabb szintű védelem fenntartása érdekében állítsa be a víruskereső programot a frissítések ellenőrzéséhez, amilyen gyakran csak engedélyezi. Az aláírások naprakészen tartása nem garantálja, hogy egy új vírus soha nem csúszik át, de sokkal kevésbé valószínű.
Javasolt olvasmány:
- Mi a téves pozitív?
- Vírusok magyarázata
- Ingyenes vírusirtó eszközök és trükkök