Virensignaturen

Wie erkennt ein Antivirus ein gefährliches Programm? Es kann versuchen, den Code des Programmes zu analysieren (siehe Heuristik), oder es kann sich das Verhalten des Programmes ansehen (siehe Sandbox). Beide Methoden liefern aber keine Ja/Nein-Aussage über die Gefährlichkeit des fraglichen Programmes, sondern können dafür nur Wahrscheinlichkeiten angeben.

Die sicherste und älteste Methode, Viren festzustellen, sind daher sog. Virensignaturen. Sie enthalten einen "Fingerabdruck" aller zu erkennenden Viren. Taucht im fraglichen Programm dieser Fingerabdruck auf, handelt es sich mich sehr hoher Wahrscheinlichkeit um ein gefährliches Programm.

Wichtig bei dieser Methode ist es jedoch, den Virenscanner eines Herstellers zu haben, der möglichst schnell nach dem Ausbruch eines neues Viruses diesen analysiert und neue Virensignaturen bereitstellt.

So lange für einen Virus keine Signatur vorliegt, versucht das Antivirus-Programm mittels Heuristik oder der Sandbox herauszufinden, ob ein fragliches Progamm Schadcode enthält oder nicht.