要防止 AV 签名集过时，您无能为力。想象一下，您想要创建一个恶意软件，目标是感染尽可能多的人。您当然不希望它被任何病毒扫描程序检测到，是吗？所以你会怎么做？您让所有可以运行的病毒扫描程序检查您的恶意软件，查看它们是否检测到它，以及何时修改和混淆您的恶意软件，直到它们没有检测到。

现在您的恶意软件无法检测到……直到 AV 扫描仪发现并更新，以便再次检测到它。

你现在做什么？您获得更新的病毒扫描程序并再次开始修改和混淆您的恶意软件，直到它们再次无法检测到它并且您再次将其释放。然后循环重复。

这是 AV 供应商和黑帽黑客之间无休止的猫捉老鼠游戏。两者都有商业利益。当一个人停止更新他们的产品以超越另一个人时，他们将失去一项非常有利可图的业务。

基于签名的防病毒软件是否会搜索其数据库中的签名与要分析的病毒的签名的完全匹配？

我希望他们不会。AV 通常有几种不同的扫描技术，而基于签名的扫描只是其中之一。我认为在最简单的场景中存在某种阈值，我们计算我们知道可能是恶意的签名的数量。当计数器达到临界质量时，可执行文件被标记。在现实世界中，我认为它比这要复杂得多。熟悉 Clam AV 的人可能会给出更好的答案（您也可以查看代码）

我问这个问题是因为我想知道这是否是我经常读到仅基于签名的防病毒软件已过时的原因。

如果我要写一个病毒，我会在体内嵌入变异和混淆。每次执行有效负载时，病毒的主体都会发生如此多的变异，以至于任何先前的签名都不起作用。

或者，可以使用密码术来加密身体。新一轮加密会产生新的随机垃圾（除非有一个解密密钥，该密钥通常根据初始种子数和日期通过随机域分发）。

多态病毒最有可能对任何基于特征的方法免疫。

鉴于制造这样的病毒是多么容易，为什么人们说基于签名的 AV 已经过时且无效，我并不感到惊讶。