特征码检测(signature-based detection),理学-计算机科学技术-信息安全-信息系统安全-软件安全-软件安全防御,一种检测文件或内存是否是恶意代码的方法。目的是采用文件或内存中的二进制串等信息识别文件或内存是否是恶意代码,以及恶意代码的种类和所属家族。每一个恶意代码都有唯一标记该代码的特征码(signature)。此特征码可以是恶意代码中连续可打印的字符串,或者给定长度的二进制串。一个特征码由至少一个字符串或者二进制串构成,位于恶意代码的代码区(机器指令),或者位于恶意代码的数据区。特征码可以采用自动技术或者手动技术从恶意代码中提取且区别于已有的其他恶意代码、所有正常软件。广谱特征码可以标记一类具有相似功能的恶意代码,俗称为恶意代码家族。特征码检测是最早检测计算机病毒的方法之一,随后用于特洛伊木马、网络蠕虫、僵尸软件、勒索软件的检测,也是杀毒工具必备的检测方法。此方法一般在可执行文件浏览、下载、加载时检测该文件是否包含预定义的特征码,采用多模式匹配算法提高检测速度。同时也可以针对进程内存进行检测。