Viren + Trojaner Identifikations Merkmale

[Reeth]

Hey Community,

Ich frage mich seit einiger Zeit schon, wie eigentlich Virenscanner Arbeiten, dass sie Viren oder Trojaner erkennen können. Welche Merkmale Tastet ein solcher Virenscanner ab ? Wann wird der Virus/Trojaner als solcher erkannt ?
Auf welche Datenbank greift so ein Scanner zurück, und wie sieht das ganze im Detail aus ?

=) Auf Antworten bin ich sehr gespannt, gerne auch Detailiert und Spezifisch.

mfg Reeth

[KMDave]

Das ganze laeuft ueber sogenannte Signaturen.
Das bedeutet, dass Dateien meist beim Zugriff gescannt werden und ueberprueft wird, ob ein gewisses Muster in der Datei enthalten ist. Sollte dies der Fall sein, wird die Datei als Virus gekennzeichnet.

Die Signatur DB's sind immer individuell vom Hersteller.

[s.h.i]

[QUOTE=KMDave;

Die Signatur DB's sind immer individuell vom Hersteller.[/QUOTE]

Leider arbeiten nicht alle Hersteller mit grob unterschiedlichen Signaturen, viele sind sich sehr sehr ähnlich (zu ähnlich), deshalb schlagen bei "exotischen Geschenken" nur einige Virenscanner an.... oder eben fast keiner!!!!


gr. SHI

[KMDave]

Quote:

Originally Posted by s.h.i

Leider arbeiten nicht alle Hersteller mit grob unterschiedlichen Signaturen, viele sind sich sehr sehr ähnlich (zu ähnlich), deshalb schlagen bei "exotischen Geschenken" nur einige Virenscanner an.... oder eben fast keiner!!!!


gr. SHI

Das stimmt allerdings. Habe ich bei meinen Versuchen vor kurzem im Rahmen des CTP festgestellt.
Problematisch ist auch, dass fuer manche Schaedlinge die Signaturdatenbank eines Herstellers besonders gut ist, beim naechsten aber komplett versagt.

Ich wollte damit nur sagen, dass es keine gemeinsame bzw. einheitliche Signaturdatenbank gibt.

[cleguevara]

Dann gibt es noch die Heuristik. Dabei wird versucht anhand von bestimmten Verhaltensmerkmalen (Netzwerkverbindungen etc.) das Programm als Schädling zu erkennen (die Wirksamkeit der Heuristikfunktionen ist derzeit allerdings nicht besonders ernstzunehmen).

[floyd]

Bei Heise war übrigens letzthin ein Artikel, dass nur sehr wenige Admins auf Antivirus Produkte vertrauen...

Antivirus gibts übrigens auch für Linux. Ich würde jetzt aber nicht versuchen einen auf BT zu installieren , ich schätze das BT wäre dann unbrauchbar.

Falls ihr euch mal nervt, dass ein Mailserver eure zip Files mit Vireninhalt immer blockt, schickt dem gleichen Mailserver doch mal das hier: 42.zip (leider nur auf Englisch). Oder ihr könnt natürlich auch mal schauen was euer Virenscanner mit dem Teil macht. DoS mal anderst. Und die lustigen unter euch versuchen das mal zu entzippen

Tjo und zuguter letzt wie immer: Antivirenprogramm – Wikipedia