Detectarea pe bază de semnătură este o metodă de funcționare a antivirusurilor și a sistemelor de detectare a intruziunilor , în care un program, atunci când vizualizează un fișier sau un pachet , se referă la un dicționar de viruși cunoscuți compilat de autorii programului. Dacă orice secțiune a codului programului care este vizualizat se potrivește cu codul cunoscut ( semnătura ) al virusului din dicționar, programul antivirus poate efectua una dintre următoarele acțiuni:
Pentru a obține un succes suficient de lung cu această metodă, este necesar să actualizați periodic dicționarul de viruși cunoscuți cu definiții noi (în principal online ). Utilizatorii cu spirit civic și cunoscători din punct de vedere tehnic, care au descoperit un nou virus „în direct”, pot trimite fișierul infectat dezvoltatorilor de software antivirus, care vor studia virusul, vor extrage semnătura acestuia și apoi vor include semnătura primită a noului virus în dictionarul.
Programele antivirus bazate pe definiția virușilor din dicționar scanează de obicei fișiere atunci când sistemul computerului creează, deschide, închide sau trimite fișiere prin e-mail . Astfel, virușii pot fi detectați imediat după ce intră în computer și înainte de a putea provoca vreun rău. Trebuie remarcat faptul că administratorul de sistem poate seta un program pentru programul antivirus, conform căruia toate fișierele de pe hard disk pot fi vizualizate (scanate).
Deși programele antivirus bazate pe definiția din dicționar a unui virus pot fi, în circumstanțe normale, destul de eficiente în stoparea focarelor pe computer, autorii de viruși încearcă să rămână cu jumătate de pas înaintea unor astfel de programe antivirus creând „oligomorfe”, „ polimorfe ” și cei mai noi viruși „ metamorfici ” » în care părți ale codului sunt rescrise, modificate, criptate sau distorsionate, astfel încât este imposibil să găsiți o potrivire cu definiția din dicționarul de virus.
O metodă de scanare hardware este scanarea fluxului de date pe parcurs cu un dispozitiv special numit coprocesor de context. [unu]
Semnăturile antivirus sunt create ca urmare a analizei minuțioase a mai multor copii ale unui fișier aparținând unui virus. Semnătura ar trebui să conțină doar linii unice din acest fișier, atât de specifice încât să garanteze posibilitatea minimă de fals pozitive - prioritatea principală a oricărei companii de antivirus.
Dezvoltarea semnăturilor este un proces manual greu de automatizat. În ciuda multor cercetări privind generarea automată a semnăturilor, [1] [2] polimorfismul (și „metamorfismul”) în creștere al virușilor și al atacurilor face semnăturile sintactice lipsite de sens. Companiile de antivirus sunt nevoite să elibereze un număr mare de semnături pentru toate variantele aceluiași virus și, dacă nu ar fi legea lui Moore , niciun computer modern nu ar fi capabil să termine de scanat un număr mare de fișiere cu o astfel de masă de semnături într-un timp rezonabil. Deci, în martie 2006, scanerul Norton Antivirus cunoștea aproximativ 72.131 de viruși, iar baza de date a programului conținea aproximativ 400.000 de semnături. [2]
În forma sa actuală, bazele de date de semnături trebuie actualizate în mod regulat, deoarece majoritatea antivirusurilor nu sunt capabile să detecteze noi viruși pe cont propriu. Orice proprietar de software bazat pe semnături este sortit unei dependențe regulate de actualizările semnăturilor, care stă la baza modelului de afaceri al furnizorilor de antivirus și IDS.
Livrarea la timp a noilor semnături către utilizatori este, de asemenea, o provocare majoră pentru furnizorii de software. Virușii și viermii moderni se răspândesc cu o viteză atât de mare încât până în momentul în care semnătura este eliberată și livrată pe computerele utilizatorilor, este posibil ca epidemia să fi atins deja apogeul și să fi acoperit întreaga lume . Potrivit datelor publicate, livrarea semnăturii durează de la 11 la 97 de ore, în funcție de producător, [3] în timp ce, teoretic, un virus poate prelua întregul Internet în mai puțin de 30 de secunde. [3]
În majoritatea software-urilor de securitate, baza de date de semnături este nucleul produsului – partea cea mai consumatoare de timp și cea mai valoroasă. Acesta este motivul pentru care majoritatea vânzătorilor preferă să-și păstreze semnăturile private - deși există o serie de software open source în acest domeniu (de ex . ClamAV ), precum și cercetări privind ingineria inversă a semnăturilor proprietare. [4] Buletinul Virus a publicat în mod regulat noi semnături de viruși până în anul 2000 .
Metoda de scanare euristică este concepută pentru a îmbunătăți capacitatea scanerelor de a aplica semnături și de a recunoaște virușii modificați în cazurile în care semnătura nu se potrivește cu corpul unui program necunoscut cu 100%. [4] Această tehnologie, însă, este folosită cu mare atenție în programele moderne, deoarece poate crește numărul de fals pozitive.