Τι είναι η υπογραφή ως όρος που χρησιμοποιείται στην ανάπτυξη λογισμικού antivirus και antispyware;

Στο πλαίσιο του λογισμικού antivirus και antispyware, μια "υπογραφή" αναφέρεται σε ένα μοναδικό κομμάτι δεδομένων, συνήθως μια συγκεκριμένη ακολουθία byte ή μια τιμή κατακερματισμού (όπως το MD5, το Sha-1, το Sha-256), το οποίο είναι χαρακτηριστικό ενός γνωστού κακόβουλου προγράμματος (ιός, σκουλήκι, trojan, κ.λπ.). Αυτές οι υπογραφές είναι ουσιαστικά "δακτυλικά αποτυπώματα" που χρησιμοποιούνται για την ανίχνευση κακόβουλου λογισμικού.

Το λογισμικό antivirus λειτουργεί συγκρίνοντας τα αρχεία και τις διαδικασίες σε έναν υπολογιστή ενάντια σε μια συνεχώς ενημερωμένη βάση δεδομένων αυτών των υπογραφών. Εάν βρεθεί ένας αγώνας, το λογισμικό μπορεί να προσδιορίσει με βεβαιότητα το αρχείο ή τη διαδικασία ως κακόβουλη και να αναλάβει δράση (π.χ. καραντίνα, διαγραφή, εκτέλεση μπλοκ).

Υπάρχουν διαφορετικοί τύποι υπογραφών:

* Υπογραφές αρχείου: Αυτές είναι υπογραφές που προέρχονται από το περιεχόμενο του ίδιου του κακόβουλου αρχείου. Μπορούν να στοχεύσουν συγκεκριμένα τμήματα του κώδικα, σε χορδές εντός του κώδικα ή ακόμα και στη συνολική δομή του αρχείου.

* Συμπεριφορικές υπογραφές: Αυτά είναι λιγότερο άμεση και ανιχνεύουν κακόβουλη δραστηριότητα * και όχι συγκεκριμένο περιεχόμενο αρχείου. Ψάχνουν για ύποπτες ενέργειες, όπως οι προσπάθειες τροποποίησης αρχείων συστήματος, συνδέσεις δικτύου σε γνωστούς διακομιστές εντολών και ελέγχου ή ασυνήθιστα πρότυπα πρόσβασης μνήμης. Αυτά είναι ζωτικής σημασίας για την ανίχνευση πολυμορφικού κακόβουλου λογισμικού (το οποίο αλλάζει τον κώδικα του για να αποφύγει την ανίχνευση με βάση την υπογραφή).

* Ευρετικές υπογραφές (ή ευρετικές): Αυτοί είναι κανόνες ή πρότυπα που περιγράφουν τα χαρακτηριστικά του κακόβουλου λογισμικού και όχι συγκεκριμένες ακολουθίες byte. Χρησιμοποιούνται για την ανίχνευση νέου ή άγνωστου κακόβουλου λογισμικού που δεν έχει ακόμη συγκεκριμένη υπογραφή. Είναι συχνά λιγότερο αξιόπιστα, αλλά παρέχουν ένα βαθμό προστασίας από επιθέσεις μηδενικής ημέρας.

Η αποτελεσματικότητα της ανίχνευσης με βάση την υπογραφή εξαρτάται από την ποιότητα και την ποσότητα των υπογραφών στη βάση δεδομένων προστασίας από ιούς. Ενώ είναι αποτελεσματικό ενάντια στο γνωστό κακόβουλο λογισμικό, η ανίχνευση με βάση την υπογραφή αγωνίζεται ενάντια σε εκμεταλλεύσεις μηδενικής ημέρας και πολυμορφικού/μεταμορφωμένου κακόβουλου λογισμικού που αλλάζει συνεχώς τον κώδικα τους για να αποφευχθεί η ανίχνευση. Το σύγχρονο λογισμικό προστασίας από ιούς συνδυάζει συχνά ανίχνευση με βάση την υπογραφή με ευρετική ανάλυση, παρακολούθηση συμπεριφοράς και άλλες τεχνικές για πιο ισχυρή προστασία.