עיקרי אנטי-וירוס מהי חתימת וירוס?
אנטי-וירוס

מהי חתימת וירוס?

מהי חתימת וירוס?
Anonim

  • יסודות
  • מאת מרי לנדסמן

    סופרת טכנולוגיה אשר נקראה כאחת הנשים שצפויות באבטחת IT.

    בעולם האנטי-וירוס, חתימה היא אלגוריתם או חשיש (מספר הנגזר מחרוזת טקסט) המזהה באופן ייחודי וירוס ספציפי. תלוי בסוג הסורק שמשתמש בו, יתכן וזהו חשיש סטטי, שבצורתו הפשוטה ביותר, הוא ערך מספרי מחושב של קטע קוד הייחודי לנגיף. או, פחות נפוץ, האלגוריתם עשוי להיות מבוסס התנהגות, כלומר אם קובץ זה מנסה לעשות X, Y, Z, לסמן אותו כחשוד ולהוביל את המשתמש להחלטה. בהתאם לספק אנטי-וירוס, חתימה עשויה להתייחס לחתימה, קובץ הגדרה או קובץ DAT.

    חתימה יחידה עשויה להתאים למספר גדול של וירוסים. זה מאפשר לסורק לאתר וירוס חדש שהוא מעולם לא ראה לפני כן. יכולת זו מכונה בדרך כלל היוריסטיקה או איתור גנרי. סביר להניח שגילוי גנרי יעיל כנגד נגיפים חדשים לחלוטין ויעיל יותר לגילוי חברים חדשים ממשפחת וירוסים שכבר ידועה (אוסף וירוסים שחולקים רבים מאותם מאפיינים וחלק מאותו קוד). היכולת לזהות היוריסטית או באופן כללי היא משמעותית, בהתחשב בכך שרוב הסורקים כוללים כעת יותר מ- 250k חתימות ומספר הנגיפים החדשים שמתגלים ממשיך לגדול באופן דרמטי שנה אחר שנה.

    הצורך חוזר לעדכן

    בכל פעם שמתגלה וירוס חדש שאינו ניתן לגילוי על ידי חתימה קיימת, או שהוא ניתן לגילוי אך לא ניתן להסירו כראוי מכיוון שהתנהגותו אינה עולה בקנה אחד עם איומים ידועים בעבר, יש ליצור חתימה חדשה. לאחר שנוצרה ונבדקה החתימה החדשה על ידי ספק האנטי-וירוס, היא נדחקת אל הלקוח בצורה של עדכוני חתימה. עדכונים אלה מוסיפים את יכולת הגילוי למנוע הסריקה. במקרים מסוימים, חתימה שסופקה בעבר עשויה להיות מוסרת או מוחלפת בחתימה חדשה כדי להציע יכולות איתור או חיטוי כוללים טובים יותר.

    בהתאם לספק הסריקה, עדכונים עשויים להיות מוצעים כל שעה או יומית, או לפעמים אפילו שבועית. חלק גדול מהצורך לספק חתימות משתנה בהתאם לסוג הסורק שהוא, כלומר עם מה מואשם אותו סורק בזיהוי. לדוגמה, תוכנות ריגול ותוכנות ריגול אינן פורות כמעט כמו וירוסים, ולכן בדרך כלל סורק תוכנות פרסום / ריגול עשוי לספק עדכוני חתימה שבועיים בלבד (או אפילו פחות לעתים קרובות). לעומת זאת, על סורק וירוסים להתמודד עם אלפי איומים חדשים שמתגלים מדי חודש ולכן יש להציע עדכוני חתימה לפחות מדי יום.

    כמובן, זה פשוט לא מעשי לשחרר חתימה פרטנית עבור כל נגיף חדש שהתגלה, ולכן ספקי אנטי-וירוס נוטים לשחרר בלוח זמנים מוגדר, המכסה את כל התוכנות הזדוניות החדשות בהן נתקלו במהלך זמן זה. אם יתגלה איום נפוץ או מאיים במיוחד בין העדכונים המתוזמנים שלהם באופן קבוע, בדרך כלל הספקים ינתחו את התוכנה הזדונית, יצרו את החתימה, יבדקו אותה וישחררו אותה מחוץ ללהקה (מה שאומר, שחררו אותה מחוץ ללוח העדכונים הרגיל שלהם ).

    כדי לשמור על רמת ההגנה הגבוהה ביותר, קבע את התצורה של תוכנת האנטי-וירוס שלך כדי לבדוק אם יש עדכונים בתדירות שהיא מאפשרת. שמירת החתימות מעודכנת אינה מבטיחה שנגיף חדש לעולם לא יחליק דרך, אבל זה הופך את זה הרבה פחות סביר.