Il software antivirus funziona confrontando file e processi su un computer con un database costantemente aggiornato di queste firme. Se viene trovata una corrispondenza, il software può identificare con sicurezza il file o il processo come dannoso e agire (ad esempio, quarantena, elimina, bloccare l'esecuzione).
Esistono diversi tipi di firme:
* Firme di file: Queste sono firme derivate dal contenuto del file dannoso stesso. Possono colpire parti specifiche del codice, stringhe all'interno del codice o persino la struttura generale del file.
* Firme comportamentali: Questi sono meno diretti e rilevano attività * maliziose * piuttosto che contenuto di file specifico. Cercano azioni sospette, come i tentativi di modificare i file di sistema, le connessioni di rete a server di comando e controllo noti o modelli di accesso alla memoria insoliti. Questi sono cruciali per rilevare malware polimorfico (che modifica il suo codice per eludere il rilevamento basato sulla firma).
* Firme euristiche (o euristica): Queste sono regole o modelli che descrivono le caratteristiche del malware piuttosto che sequenze di byte specifiche. Sono usati per rilevare malware nuovo o sconosciuto che non ha ancora una firma specifica. Sono spesso meno affidabili ma forniscono un grado di protezione contro gli attacchi a zero giorni.
L'efficacia del rilevamento basato sulla firma dipende dalla qualità e dalla quantità di firme nel database antivirus. Sebbene efficace contro il malware noto, lotte di rilevamento basate sulla firma contro exploit zero-day e malware polimorfo/metamorfico che cambiano costantemente il loro codice per evitare il rilevamento. Il moderno software antivirus combina spesso il rilevamento basato sulla firma con analisi euristiche, monitoraggio comportamentale e altre tecniche per una protezione più solida.
software © www.354353.com