基于签名的 AV 将系统上文件的哈希（签名）与已知恶意文件列表进行比较。它还会在文件中查找恶意代码的签名。

基于行为的 AV 监视进程中是否存在恶意软件的迹象，并将其与已知恶意行为列表进行比较。

许多 AV 产品添加基于行为的检测的原因是因为许多恶意软件创建者已经开始使用难以为其创建签名的多态或加密代码段。检测这些的更简单方法是观察特定的行为模式以识别恶意软件。

基于签名的病毒检测仅对旧病毒成功，因为它们不像现在那样以不同的变体存在。例如，签名可以是 MD5/SHA1 哈希。有关更多信息，请参阅此帖子：基于签名的防病毒软件会寻找哪些模式？. 而基于行为的检测（也称为基于启发式的检测）通过实时围绕每个流程执行路径构建完整的上下文来发挥作用。

好吧，让我试着尽可能简洁地解释它。这些基于“签名”和“行为”的扫描往往作为防病毒功能提供。病毒有像你一样的特征。有些倾向于具有静态签名，而另一些倾向于具有多态签名。想象一下，您可以更改您的签名并试图摆脱它（来自您的银行或任何此类机构）。

在静态签名中，防病毒软件有一个预定义的已知签名数据库，因此在扫描时，它会为每个文件（使用 MD5 或其他哈希）创建适当的签名，并将它们与预定义的列表进行比较。如果它们匹配，则该文件将被视为“威胁”。此防病毒数据库会在您单击 AV 界面中的更新按钮时更新，该按钮会为您提供已知签名列表并将其添加到现有数据库中，从而保护您免受最新威胁。

黑客已经变得更聪明，并试图通过以某种方式对病毒进行编码来逃避静态签名检测技术，以便它可以更改其签名。威胁防护专家随后开始使用“启发式”技术来识别病毒。例如，想象一下你是一个窃贼，正计划闯入一所房子。您试图通过监控来尽可能多地获取有关房屋及其居民的信息。然后你去武器店买一把可以“以防万一”的武器。你到达商店，那里是戴着手铐的警察。基于“行为”的防病毒软件以相同的方式工作。它试图识别文件的“行为”。例如，一个 mp3 文件试图修改系统文件或类似的东西，这在正常情况下是不可接受的。

@schroeder：将警察视为防病毒，将窃贼视为病毒。窃贼正计划袭击一所房屋。想象一下，如果警察正在监视每个公民，并在“可能的威胁”情景下标记这个特定的“潜在窃贼”，因为他显示出他“可以进行盗窃”的迹象。他每天晚上 9:00 在同一所房子周围转一圈，然后打电话给同一个号码并提出一些想法。我是这么想的。防病毒软件会跟踪文件显示的“行为”。RAM 过多、频繁连接到随机 IP、未经授权访问修改文件等。