בעולם האנטי-וירוס, חתימה היא אלגוריתם או חשיש (מספר הנגזר מחוט טקסט) המזהה באופן ייחודי וירוס ספציפי. בהתאם לסוג הסורק שנמצא בשימוש, הוא עשוי להיות hash סטטי אשר, בצורתו הפשוטה ביותר, הוא ערך מספרי מחושב של קטע קוד ייחודי לנגיף. או, פחות נפוץ, האלגוריתם עשוי להיות מבוסס התנהגות, כלומר, אם הקובץ הזה מנסה לעשות X, Y, Z, סמן את זה כחשוד ולהנחות את המשתמש להחלטה. בהתאם לספק האנטי-וירוס, חתימה עשויה להיקרא חתימה, קובץ הגדרה או קובץ DAT .
חתימה אחת עשויה להיות עקבית עם מספר גדול של וירוסים. זה מאפשר לסורק לזהות וירוס חדש זה אף פעם לא ראה לפני. יכולת זו מכונה בדרך כלל גם heuristics או גילוי כללי. גילוי גנרלי הוא פחות סביר להיות יעיל נגד וירוסים חדשים לגמרי ויעיל יותר בזיהוי חברים חדשים של משפחת וירוסים כבר ידוע (אוסף של וירוסים, כי חולקים רבים מאותם מאפיינים וחלק מאותו קוד). היכולת לזהות באופן היוריסטי או גנרי היא משמעותית, בהתחשב בכך שרוב הסורקים כוללים כעת מעל 250k חתימות ומספר וירוסים חדשים מתגלה ממשיכה לעלות באופן דרמטי שנה אחר שנה.
הצורך מחדש
בכל פעם שמתגלה וירוס חדש שאינו ניתן לגילוי על ידי חתימה קיימת , או ניתן לגילוי אך אינו ניתן להסרה כהלכה מכיוון שהתנהגותו אינה תואמת לחלוטין לאיומים המוכרים קודם לכן, יש ליצור חתימה חדשה. לאחר שהחתימה החדשה נוצרה ונבדקה על ידי ספק האנטי-וירוס, היא נדחפת אל הלקוח בצורה של עדכוני חתימה. עדכונים אלה מוסיפים את יכולת הזיהוי למנוע הסריקה. במקרים מסוימים, ייתכן שחתימה שסופקה בעבר תוסר או תוחלף בחתימה חדשה שתציע יכולות זיהוי או חיטוי כלליות יותר.
בהתאם לספק הסריקה, העדכונים עשויים להיות מוצעים מדי שעה, או מדי יום, או לפעמים אפילו לשבוע. רוב הצורך לספק חתימות משתנה עם סוג של סורק זה, כלומר עם מה סורק הוא מחויב גילוי. לדוגמה, תוכנות פרסום ותוכנות ריגול אינן כמעט כמו פוריות כמו וירוסים, ולכן בדרך כלל סורק תוכנות ריגול / תוכנות ריגול יכול לספק רק עדכוני חתימה לשבוע (או אפילו פחות). לעומת זאת, סורק וירוסים חייב להתמודד עם אלפי איומים חדשים שהתגלו מדי חודש ולכן, עדכוני חתימה צריך להיות מוצע לפחות מדי יום.
כמובן, זה פשוט לא מעשי לשחרר חתימה אישית עבור כל וירוס חדש שהתגלו, כך ספקי אנטי וירוס נוטים לשחרר על לוח זמנים מוגדר, המכסים את כל תוכנות זדוניות חדשות הם נתקלו במהלך פרק זמן זה. אם יתגלה איום נפוץ במיוחד או מאיים בין העדכונים המתוזמנים שלהם באופן קבוע, הספקים בדרך כלל ינתחו את התוכנה הזדונית, יצרו את החתימה, יבדקו אותה ושחררו אותה מחוץ לרצועה (כלומר, שחררו אותה מחוץ ללוח הזמנים הרגיל שלהם ).
כדי לשמור על רמת ההגנה הגבוהה ביותר, הגדר את תוכנת האנטי-וירוס שלך כדי לבדוק אם קיימים עדכונים לעתים קרובות ככל שתאפשר זאת. שמירה על חתימות מעודכן אינו מבטיח וירוס חדש לעולם לא לחמוק, אבל זה עושה את זה הרבה פחות סביר.
קריאה מוצעת:
- מהו 'שקר חיובי'?
- וירוסים המוסברים
- חינם להסרת וירוסים כלים וטריקים