В мире антивируса подпись - это алгоритм или хэш (число, полученное из строки текста), которое однозначно идентифицирует конкретный вирус. В зависимости от типа используемого сканера это может быть статический хеш, который в своей простейшей форме является расчетным численным значением фрагмента кода, уникального для вируса. Или, реже, алгоритм может быть основан на поведении, то есть если этот файл пытается выполнить X, Y, Z, пометить его как подозрительное и запросить у пользователя решение. В зависимости от поставщика антивируса подпись может быть названа сигнатурой, файлом определения или файлом DAT.
Одна сигнатура может быть совместима с большим количеством вирусов. Это позволяет сканеру обнаруживать новый вирус, которого он никогда не видел. Эта способность обычно называется эвристикой или общим обнаружением. Общепринятое обнаружение менее эффективно для совершенно новых вирусов и более эффективно обнаруживает новых членов уже известного семейства вирусов (набор вирусов, которые имеют одни и те же характеристики и некоторые из одного и того же кода). Способность обнаруживать эвристически или в целом значительна, учитывая, что большинство сканеров теперь включают в себя более 250 тыс. Подписей, а число новых обнаруженных вирусов продолжает резко возрастать из года в год.
Необходимость обновления
Каждый раз, когда обнаруживается новый вирус, который не может быть обнаружен существующей сигнатурой или может быть обнаружен, но не может быть правильно удален, поскольку его поведение не полностью соответствует ранее известным угрозам, необходимо создать новую подпись. После того, как новая подпись была создана и протестирована поставщиком антивируса, она выдается клиенту в виде обновлений сигнатур. Эти обновления добавляют возможности обнаружения для механизма сканирования. В некоторых случаях ранее предоставленная подпись может быть удалена или заменена новой подписью, чтобы предлагать более широкие возможности обнаружения или дезинфекции.
В зависимости от поставщика сканирования обновления могут предлагаться ежечасно или ежедневно, а иногда и еженедельно. Большая часть необходимости предоставления подписей варьируется в зависимости от типа сканера, то есть с тем, что сканер заряжается с помощью обнаружения. Например, рекламное ПО и программы-шпионы не так плохи, как вирусы, поэтому обычно сканер adware / spyware может предоставлять только еженедельные обновления сигнатур (или даже реже). И наоборот, сканер вирусов должен бороться с тысячами новых угроз, обнаруженных каждый месяц, и поэтому обновления подписей должны предлагаться, по крайней мере, ежедневно.
Разумеется, просто нецелесообразно выпускать отдельную подпись для каждого обнаруженного нового вируса, поэтому поставщики антивирусных программ, как правило, выпускают по установленному графику, охватывая все новые вредоносные программы, с которыми они сталкивались в течение этого периода времени. Если между их регулярно запланированными обновлениями обнаруживается особенно распространенная или угрожающая угроза, поставщики обычно анализируют вредоносное ПО, создают подпись, проверяют ее и выпускают вне диапазона (что означает, выпустить ее за пределы их нормального графика обновления ).
Чтобы поддерживать самый высокий уровень защиты, настройте антивирусное программное обеспечение для проверки обновлений так часто, как это позволит. Сохранение подписи в актуальном состоянии не гарантирует, что новый вирус никогда не проскользнет, но это делает его гораздо менее вероятным.
