Una firma statica è una regola di rilevamento che confronta un file o un pattern con indicatori noti, come hash, sequenze di byte, nomi di file o stringhe incorporate. Gli strumenti di sicurezza la usano per riconoscere malware già osservato e catalogato. Poiché funziona senza eseguire il file, è veloce e poco costosa, il che la rende comune nei motori antivirus, negli scanner gateway e nei sistemi di rilevamento delle intrusioni.
Le firme statiche sono importanti perché sono molto efficaci contro campioni riutilizzati e set di strumenti noti, ma diventano meno efficaci quando gli aggressori modificano l'artefatto. Se un binario viene ricompilato spesso, confezionato o generato come un esemplare usa e getta, il suo hash e le sue stringhe potrebbero non corrispondere più alle rilevazioni precedenti. Negli attacchi e nelle difese reali, questo crea una corsa: i difensori mantengono feed di firme per intercettare minacce note, mentre gli aggressori cercano di variare codice, nomi e dettagli di compilazione per eluderle. Ecco perché il rilevamento basato su firme è di solito più efficace quando viene combinato con telemetria comportamentale, sandboxing e altri segnali di runtime.



