El software antivirus funciona comparando archivos y procesos en una computadora con una base de datos constantemente actualizada de estas firmas. Si se encuentra una coincidencia, el software puede identificar con confianza el archivo o el proceso como malicioso y tomar medidas (por ejemplo, cuarentena, eliminar, ejecución de bloque).
Hay diferentes tipos de firmas:
* firmas de archivo: Estas son firmas derivadas del contenido del archivo malicioso en sí. Pueden dirigirse a partes específicas del código, cadenas dentro del código o incluso la estructura general del archivo.
* firmas de comportamiento: Estos son menos directos y detectan una actividad maliciosa * * en lugar de contenido de archivo específico. Buscan acciones sospechosas, como intentos de modificar archivos del sistema, conexiones de red a servidores de comando y controles conocidos o patrones de acceso de memoria inusual. Estos son cruciales para detectar malware polimórfico (que cambia su código para evadir la detección basada en la firma).
* firmas heurísticas (o heurística): Estas son reglas o patrones que describen las características de malware en lugar de secuencias de bytes específicas. Se utilizan para detectar malware nuevo o desconocido que aún no tiene una firma específica. A menudo son menos confiables, pero proporcionan un grado de protección contra ataques de día cero.
La efectividad de la detección basada en la firma depende de la calidad y cantidad de firmas en la base de datos antivirus. Si bien es efectivo contra el malware conocido, las luchas de detección basadas en la firma contra las exploits de día cero y el malware polimórfico/metamórfico que cambian constantemente su código para evitar la detección. El software antivirus moderno a menudo combina la detección basada en la firma con análisis heurístico, monitoreo del comportamiento y otras técnicas para una protección más robusta.