Der Signaturbasis-basierte Malware-Erkennung beruht auf der Identifizierung bekannter Malware, indem seine Eigenschaften ("Signatur") mit einer Datenbank mit bekannten böswilligen Code verglichen werden. Stellen Sie sich das wie einen Fingerabdruck für ein Virus vor.
Hier ist eine Aufschlüsselung:
* Signatur: Dies ist ein eindeutiges Stück Code, eine bestimmte Abfolge von Bytes oder ein bestimmtes Muster im Code der Malware. Es ist ein Merkmal, das ein bestimmtes Stück Malware eindeutig identifiziert. Dies könnte sein:
* Eine bestimmte Textzeichenfolge im Code.
* Eine einzigartige Folge von Anweisungen.
* Ein spezifischer Datei-Hash (MD5, SHA-1, SHA-256). Dies sind kryptografische Prüfungen, die den Inhalt einer Datei eindeutig identifizieren.
* Datenbank: Antivirus -Software und andere Sicherheitsprodukte behalten umfangreiche Datenbanken dieser Signaturen. Diese Datenbanken werden ständig von Sicherheitsforschern aktualisiert, wenn eine neue Malware entdeckt wird.
* Erkennung: Wenn eine Datei oder ein Prozess auftritt, vergleicht die Sicherheitssoftware ihre Eigenschaften mit den Signaturen in ihrer Datenbank. Wenn eine Übereinstimmung gefunden wird, identifiziert die Software die Datei oder den Prozess als böswillig.
Einschränkungen der Signatur-basierten Erkennung:
* Zero-Day Exploits: Die charakteristische Erkennung ist gegen neue Malware (Zero-Day Malware), die noch nicht gesehen wurde, und hat daher keine Signatur in der Datenbank.
* polymorphe und metamorphe Malware: Einige Malware ändert seinen Code bei jedem Infizieren eines Systems (polymorph) oder verändert seine Struktur (metamorph) und erschwert es schwierig, nur Signaturen mit Signaturen zu erkennen.
* heuristische Analyse, die für Unbekannte erforderlich ist: Wenn eine Signatur nicht gefunden wird, kann sie keine unbekannte Malware erkennen.
Während die Signaturbasis eine entscheidende erste Verteidigungslinie ist, wird sie häufig in Verbindung mit anderen Methoden wie heuristischer Analyse (suchen nach verdächtigem Verhalten) und maschinellem Lernen verwendet, um einen umfassenderen Schutz zu bieten.