什么是病毒签名？

在防病毒世界中，病毒签名是一种算法或哈希（源自文本字符串的数字），它独特地识别了特定的特定病毒。

病毒特征如何出现？

根据所使用的扫描仪的类型，它可能是静态哈希，这是该病毒独有的代码段的计算数值。或者，不太常见的是，该算法可能是基于行为的；例如，如果此文件试图做一些可疑的事情，则将其标记为可疑，并提示用户做出决定。根据防病毒供应商的不同，可以将签名称为签名，定义文件或DAT文件。

单个签名可能与大量病毒一致。这使扫描仪可以检测到以前从未见过的全新病毒。这种能力通常称为启发式方法或通用检测。

通用检测不太可能对全新的病毒有效，并且更有效地检测已知的病毒“家族”的新成员（共享许多相同特征和一些相同代码的病毒集合）。

鉴于大多数扫描仪现在包括超过250k的签名，并且发现的新病毒的数量持续急剧增加，因此能够进行启发性或普遍检测的能力很重要。

重复需要更新

每次发现新病毒无法通过现有签名检测到，或者可能可检测到但不能正确删除，因为其行为与先前已知的威胁不完全一致，则必须创建新的签名。在由防病毒供应商创建和测试新签名之后，它将以签名更新的形式向客户推出。这些更新将检测功能添加到扫描引擎中。在某些情况下，可以将先前提供的签名删除或替换为新的签名，以提供更好的总体检测或消毒功能。

根据扫描供应商的不同，可以每小时，每天甚至每周提供更新。提供签名的大部分需求随扫描仪的类型而变化，即扫描仪负责检测的内容。例如，广告软件和间谍软件不如病毒多产，因此通常是广告软件/间谍软件扫描仪可能只提供每周的签名更新（甚至更少）。相反，病毒扫描仪必须与每个月发现的数千个新威胁抗衡，因此，至少应每天提供签名更新。

当然，为发现的每种新病毒释放单独的签名是不切实际的，因此，防病毒供应商倾向于在设定的时间表上发布，涵盖他们在那段时间内遇到的所有新恶意软件。如果在定期安排的更新之间发现了特别普遍或威胁的威胁，则供应商通常会分析恶意软件，创建签名，对其进行测试并将其释放到带外（这意味着，在其正常更新时间表之外释放它）。

要维护最高级别的保护，请配置您的防毒软件尽可能多地检查更新。保持签名的最新状态并不能保证新病毒永远不会流逝，但确实会使它的可能性降低。