Στον antivirus κόσμο, μια υπογραφή είναι ένας αλγόριθμος ή hash (ένας αριθμός που προέρχεται από μια σειρά κειμένου) που αναγνωρίζει με μοναδικό τρόπο έναν συγκεκριμένο ιό. Ανάλογα με τον τύπο του σαρωτή που χρησιμοποιείται, μπορεί να είναι ένας στατικός κατακερματισμός ο οποίος, στην απλούστερη μορφή του, είναι μια υπολογισμένη αριθμητική τιμή ενός αποσπάσματος κώδικα μοναδικού για τον ιό. Ή, λιγότερο συχνά, ο αλγόριθμος μπορεί να βασίζεται στη συμπεριφορά, δηλαδή εάν αυτό το αρχείο προσπαθήσει να κάνει τα X, Y, Z, τον χαρακτηρίζει ως ύποπτο και προτρέπει τον χρήστη για μια απόφαση. Ανάλογα με τον προμηθευτή ιών, μια υπογραφή μπορεί να αναφέρεται ως υπογραφή, αρχείο ορισμών ή αρχείο DAT .
Μία υπογραφή μπορεί να είναι σύμφωνη με μεγάλο αριθμό ιών. Αυτό επιτρέπει στον σαρωτή να ανιχνεύσει έναν ολοκαίνουργιο ιό που δεν έχει δει ποτέ πριν. Αυτή η ικανότητα αναφέρεται συνήθως είτε ως ευριστική είτε ως γενική ανίχνευση. Μια γενική ανίχνευση είναι λιγότερο πιθανό να είναι αποτελεσματική ενάντια σε εντελώς νέους ιούς και πιο αποτελεσματική στην ανίχνευση νέων μελών μιας ήδη γνωστής «οικογένειας» του ιού (μια συλλογή ιών που μοιράζονται πολλά από τα ίδια χαρακτηριστικά και μερικά του ίδιου κώδικα). Η ικανότητα ανίχνευσης ευρετικής ή γενικής ανάλυσης είναι σημαντική, δεδομένου ότι οι περισσότεροι σαρωτές περιλαμβάνουν τώρα περισσότερες από 250k υπογραφές και ο αριθμός των νέων ιών που ανακαλύπτονται συνεχίζει να αυξάνεται δραματικά χρόνο με το χρόνο.
Η επαναλαμβανόμενη ανάγκη ενημέρωσης
Κάθε φορά που ανακαλύπτεται ένας νέος ιός που δεν είναι ανιχνεύσιμος από υπάρχουσα υπογραφή ή μπορεί να είναι ανιχνεύσιμος αλλά δεν μπορεί να καταργηθεί σωστά επειδή η συμπεριφορά του δεν είναι απόλυτα συνεπής με προηγούμενες απειλές, πρέπει να δημιουργηθεί μια νέα υπογραφή. Αφού δημιουργηθεί και δοκιμαστεί η νέα υπογραφή από τον προμηθευτή του λογισμικού προστασίας από ιούς, αποστέλλεται στον πελάτη με τη μορφή ενημερώσεων υπογραφής. Αυτές οι ενημερώσεις προσθέτουν την ικανότητα ανίχνευσης στη μηχανή σάρωσης. Σε ορισμένες περιπτώσεις, μια υπογραφή που παρείχε προηγουμένως μπορεί να καταργηθεί ή να αντικατασταθεί με μια νέα υπογραφή για να προσφέρει καλύτερες δυνατότητες γενικής ανίχνευσης ή απολύμανσης.
Ανάλογα με τον προμηθευτή σάρωσης, οι ενημερώσεις μπορούν να προσφέρονται ωριαία ή καθημερινά ή μερικές φορές ακόμη και εβδομαδιαία. Μεγάλο μέρος της ανάγκης να παρέχονται υπογραφές ποικίλλει ανάλογα με τον τύπο του σαρωτή, δηλαδή με το τι φορτίζει ο σαρωτής με την ανίχνευση. Για παράδειγμα, το adware και το spyware δεν είναι σχεδόν τόσο παραγωγικοί όσο οι ιοί, οπότε συνήθως ένας σαρωτής adware / spyware μπορεί να παρέχει μόνο εβδομαδιαίες ενημερώσεις υπογραφών (ή ακόμα και λιγότερο). Αντίθετα, ένας σαρωτής ιών πρέπει να αντιμετωπίσει χιλιάδες νέες απειλές που ανακαλύπτονται κάθε μήνα και ως εκ τούτου, οι ενημερώσεις υπογραφών θα πρέπει να προσφέρονται τουλάχιστον καθημερινά.
Φυσικά, απλά δεν είναι πρακτικό να απελευθερώσετε μια ατομική υπογραφή για κάθε νέο ιό που ανακαλύφθηκε, έτσι οι προμηθευτές antivirus τείνουν να απελευθερώνονται σε ένα καθορισμένο πρόγραμμα, καλύπτοντας όλο το νέο κακόβουλο λογισμικό που έχουν συναντήσει κατά τη διάρκεια αυτού του χρονικού πλαισίου. Εάν εντοπιστεί μια ιδιαίτερα επικρατούσα ή απειλητική απειλή μεταξύ των τακτικών προγραμματισμένων ενημερώσεών τους, οι πωλητές θα αναλύσουν συνήθως το κακόβουλο λογισμικό, θα δημιουργήσουν την υπογραφή, θα το δοκιμάσουν και θα απελευθερώσουν την εκτός ζώνης (δηλαδή, θα το απελευθερώσουν εκτός του κανονικού τους προγράμματος ενημέρωσης ).
Για να διατηρήσετε το υψηλότερο επίπεδο προστασίας, ρυθμίστε τις παραμέτρους του λογισμικού προστασίας από ιούς να ελέγχει για ενημερώσεις όσο συχνά το επιτρέπει. Η διατήρηση των σημερινών υπογραφών δεν εγγυάται ότι ένας νέος ιός ποτέ δεν θα γλιστρήσει, αλλά το καθιστά πολύ λιγότερο πιθανό.
Προτεινόμενη ανάγνωση:
- Τι είναι το ψεύτικο θετικό;
- Οι ιοί εξηγούνται
- Ελεύθερα εργαλεία αφαίρεσης ιού και τεχνάσματα