反病毒之间的病毒签名有区别吗？

Question

反病毒之间的病毒签名有区别吗？

例如，卡巴斯基中的病毒签名是否与Avast中与同一病毒相关的签名不同？

Answer 1

是的，签名是不同的，因为它们是由反病毒供应商独立开发的。一个供应商的产品可能会捕捉到另一个供应商漏掉的恶意软件，或者得到另一个供应商找不到的假阳性。

您可能最终会有多个供应商对同一件恶意软件拥有相同的签名，因为恶意软件的特性很少，或者只有一个签名选项，但它们是独立的。

Answer 2

一些AV供应商重复使用其他厂商的签名。例如，卡巴斯基实验室将一些非恶意文件的签名插入其数据库中，以检测重用，过了一段时间，他们观察到它们被另一家公司的AVs错误地检测为恶意的。

Answer 3

签名通常是不可互操作的.

有些授权正在进行，但总的来说，AV供应商都有自己的引擎，这些引擎甚至可能无法理解其他引擎的签名/规则集。

让员工(甚至是24小时)能够从一组/多个恶意软件中提取有用的签名是很昂贵的。因此，个人签名是宝贵的知识产权。

出于同样的原因，对于商业AV软件来说，签名的实际磁盘格式通常是保密的。(如果我错了，请纠正我。)

另一方面，有文档化的几种用于AV签名的开源方法.其中一个比较著名的是“YARA”规则. (文章归档的这里)。