Aquí hay un desglose:
* Firma: Esta es una pieza de código única, una secuencia específica de bytes o un patrón específico dentro del código del malware. Es una característica que identifica de manera única una pieza particular de malware. Esto podría ser:
* Una cadena específica de texto dentro del código.
* Una secuencia única de instrucciones.
* Un archivo específico hash (MD5, SHA-1, SHA-256). Estas son suma de verificación criptográfica que identifican de manera exclusiva el contenido de un archivo.
* Base de datos: El software antivirus y otros productos de seguridad mantienen bases de datos extensas de estas firmas. Estas bases de datos son constantemente actualizadas por los investigadores de seguridad a medida que se descubre el nuevo malware.
* Detección: Cuando se encuentra un archivo o proceso, el software de seguridad compara sus características con las firmas en su base de datos. Si se encuentra una coincidencia, el software identifica el archivo o el proceso como malicioso.
Limitaciones de la detección basada en la firma:
* Expotes de día cero: La detección basada en la firma es ineficaz contra el nuevo malware (malware de día cero) que no se ha visto antes y, por lo tanto, no tiene una firma en la base de datos.
* malware polimórfico y metamórfico: Algunos malware cambian su código ligeramente cada vez que infecta un sistema (polimórfico) o altera fundamentalmente su estructura (metamórfica), lo que dificulta la detección del uso de firmas solas.
* Análisis heurístico necesario para desconocido: Si no se encuentra una firma, no puede detectar malware desconocido.
Si bien la detección basada en la firma es una primera línea crucial de defensa, a menudo se usa junto con otros métodos como el análisis heurístico (que busca un comportamiento sospechoso) y el aprendizaje automático para proporcionar una protección más integral.