有动态和静态签名。

动态签名由动态检测工具使用，例如基于对 JavaScript 恶意软件行为的分析：无论给定 JS 恶意软件的代码混淆深度和复杂性如何，指纹和执行级别都是相同的。

依赖于指纹识别 JS 恶意软件的动态侧执行的此类工具的示例有：

1. 冰盾
2. 动物园
3. 间谍代理
4. 早起的鸟儿
5. 探查器

JS 恶意软件的静态签名也存在并被传统的防病毒软件使用。他们要么依赖恶意 JS 的源代码（全部或部分），要么通过对某些可疑 JS 函数（如eval()和unescape().

有签名，但这些通常不存在于标准 AV 产品中。通常，这些类型的保护可以在基于网络的安全产品中找到，例如代理服务器、IPS/IDS 和 Web 应用程序防火墙。

这些签名不像典型的 AV 签名那样对哈希进行操作，而是查看代码本身的启发式或行为。如果扫描仪查看一段代码并且其中包含看起来可疑的调用或函数，它可以触发启发式检测。这是您可以在某些消费者级别的“AV 套件”（例如 Norton 的 Internet Security 或 McAfee 的 Total Protection）中找到的唯一类型的功能。

大多数企业级网络安全产品也将能够对用户请求的网页执行代码分析。例如，代理服务器将使用与上述相同类型的启发式分析代码，但也会对某些代码功能进行反向查找。例如，代理实际上可能会在 JS 代码中调用的特定 IP 地址上运行信誉检查。

有一种恶意软件沙盒技术，通常超出大型企业的预算。这是目前由 FireEye、Mandiant 和 McAfee 拥有的利基市场。这些设备连接到收集点，例如 IPS 传感器、代理、电子邮件过滤器、WAF 等，并接收穿越网络边界的数据副本。一旦技术接收到数据，它就会对其进行分类并识别哪些类型的代码对于数据类型是正常的（例如 Word doc、PDF、EXE、HTML 等），并分解代码以识别可疑代码。这部分类似于消费者 AV 对启发式所做的。此外，恶意软件沙盒技术将允许文件在虚拟化环境中执行或运行，以查看其反应。它将记录所有网络连接、注册表更改、文件调用、以及附加的链式执行，设备通过这些执行来确定数据是否安全。对许多类型的数据执行相同的过程，包括电子邮件、网站请求、文件下载、flash/java 小程序等。

就安全性而言，没有一种方法可以将某些东西识别为恶意内容，而是与已知的恶意内容进行大量比较，以预测未来的行为。

编辑：

要解决您的问题编辑，您需要获得对某些恶意软件存储库的访问权限。这些通常通过参考访问，而有些则可以由公开分发在野外发现的样本的好心人访问。以下是 Lenny Zeltser 提供的存储库列表，他是著名的 SANS 恶意软件研究人员和事件处理程序：

http://zeltser.com/combating-malicious-software/malware-sample-sources.html