|
Antivirus Software besteht aus Computerprogrammen, die versuchen, Computerviren und andere böswillige Software zu kennzeichnen, zu vereiteln und zu beseitigen (malware). Antivirus Software verwendet für gewöhnlich zwei unterschiedliche Techniken, um dies auszuführen: Die Untersuchung (Scanning) in Files nach Übereinstimmungen mit bekannten Viren aus einer Virendatenbank.
Die Identifizierung verdächtiger Verhaltensweisen von anderen Computerprogrammen, die Infektionen aufweisen können.
Solche Analysen können Datenerfassung, Port Monitoring und andere Methoden mit einschließen.
Die meiste der kommerziellen Antivirus Software verwendet beide dieser Methoden mit Schwerpunkt auf die Virendatenbank. Zu Beginn wurde der Begriff Antivirus auch für gutartige Computerviren verwendet, die bösartige Viren verbreiteten und bekämpften. Auf der Computer Plattform Amiga war das gebräuchlich.  Methoden
Datenbank Bei der Virusdatenbank-Methode bezieht sich die Überprüfung der Files auf das von Autoren der Antivirus Software erstellte Datenbank und die darin gekennzeichneten Viren. Wenn ein Teil des Codes im File irgendeine Übereinstimmung mit einem Virus aus dem Datenbank aufweist, kann die Antivirus Software folgende Aktionen ausführen: Versuchen Sie, das File selbst zu reparieren, indem Sie den Virus aus dem File löschen.
Stellen Sie das File unter Quarantäne (sodass die für andere Programme zugänglichen Überreste des Files den Virus nicht mehr verbreiten können.
Löschen Sie das infizierte File.
Um mittel- und langfristig einen gleich bleibenden Erfolg zu erzielen, erfordert die Datenbankmethode regelmäßige (im Allgemeinen Online) Downloads der aktuellsten Virusdatenbank Einträge.
Wenn Standarduser und technisch nicht versierte User neue Viren „in the wild“ identifizieren, können sie ihre infizierten Files an die Autoren der Antivirus Software senden, welche die Information über die neuen Viren in ihre Wörterbücher aufnehmen können.
Datenbank basierende Antivirus Software untersucht Files üblicherweise dann, wenn das Computer Betriebssystem Mails erstellt, öffnet oder schließt. In diesem Fall kann sie bekannte Viren sofort nach dem Eingang identifizieren. Bedenken Sie, dass der Systemadministrator üblicherweise auch einstellen kann, dass die Antivirus Software regelmäßig die Files auf den Festplatten der User untersucht (Scan). Obwohl die Datenbankmethode in der Regel tatsächlich Virenausbrüche beinhaltet, versuchen Virus-Autoren Antivirus Software-Herstellern einen Schritt voraus zu sein, indem sie "oligomorphe", "polymorphe" und mehr aktuelle "metamorphe" Viren (welche sich selbst verschlüsseln oder auf andere Art ihre Tarnung ändern, damit die Signatur des Virus nicht der Signatur in der Datenbank entspricht. Verdächtige Verhaltensweisen Die Methode der Verdächtigen Verhaltensweisen durch Gegensätze versucht nicht, bekannte Viren zu kennzeichnen, sondern überwacht stattdessen das Verhalten aller Programme.
Wenn ein Programm versucht, Daten in ein funktionsfähiges Programm zu übertragen, kann die Antivirus Software zum Beispiel diese Verhaltensweise kennzeichnen, einen User informieren und fragen, was getan werden soll. Anders als bei der Datenbankmethode stellt die Methode der Verdächtigen Verhaltensweisen Schutz vor aktuellen Viren, die noch in keiner Virendatenbank hinterlegt sind zur Verfügung. Es kann hier allerdings auch zu false positives kommen, wodurch die User bezüglich Warnungen desensibilisiert werden. Wenn der User bei jeder dieser Warnungen „Accept“ anklickt, schreibt die Antivirus Software diesem User keine große Bedeutung mehr zu. Dieses Problem hat sich seit 1997 verschlechtert, da immer mehr nicht bösartige Programmmuster entstanden sind, um andere .exe Files ohne Berücksichtigung dieses false positive Problems zu verändern. Daher wird diese Technik von der meisten modernen Antivirus Software eher weniger eingesetzt. Andere Methoden Viele Antivirus Software wendet andere Arten von heuristischer Analyse an. Zum Beispiel könnte es versuchen, den Anfangscode jeder neuen ausführbaren Datei, welche das System aufruft, zu verändern, bevor das System die Kontrolle darüber hat. Wenn das Programm den Anschein hat, einen sich selbst modifizierten Code zu verwenden oder anders den Verdacht eines Viruses erweckt (wenn es z.B. sofort versucht, andere ausführbare Dateien zu finden), dann könnte man annehmen, dass ein Virus die ausführbare Datei infiziert hat. Jedoch könnte es mit dieser Methode eine Menge false positives geben. Dennoch schließt eine andere Erkennungsmethode die Verwendung einer so genannten Sandbox ein. Eine Sandbox emuliert das Betriebssystem und lässt die ausführbare Datei in dieser Simulation laufen. Nachdem das Programm beendet wurde analysiert die Software die Sandbox auf alle möglichen Veränderungen, die auf einen Virus hinweisen. Aufgrund der Ausgabenleistung findet diese Erkennungsmethode normalerweise nur während der on-demand Scans statt. Einige Virus Scanner können einen User auch warnen, wenn ein File aufgrund des File Typs wahrscheinlich einen Virus enthält. Bitte beachten Sie Computeruser sollten nicht immer mit ihrer Administratorkennung an ihrem eigenen PC arbeiten. Wenn sie einfach im Usermodus arbeiten, können sich viele Arten von Viren nicht vom persönlichen Systembereich auf außerhalb ausweiten, das Betriebssystem verlassen und Files, die anderen Usern gehören unberührt lassen. Die Datenbankmethode zum Ermitteln der Viren ist aufgrund der kontinuierlichen Entstehung neuer Viren nicht immer ausreichend, aber noch funktioniert die Methode der Verdächtigen Verhaltensweisen wegen des false positive Problems noch nicht ausreichend. Daher können nach dem aktuellen Verständnis der Antivirus Software Computerviren niemals besiegt werden. Verschiedene Methoden basieren auf Verschlüsselung und Verpackung bösartiger Software, welche sogar weithin bekannte Viren für die Antivirus Software unerkennbar macht. Diese erkannten „getarnten“ Viren erfordern eine leistungsfähige Entpackungsmaschine, die die Files entschlüsseln kann, bevor sie geprüft werden. Leider verfügen viele Antivirus Programme über keine solche und sind dadurch oft nicht imstande, verschlüsselte Viren zu erkennen. Siehe funktionsfähige Kompression. Das laufende Schreiben von Viren, ihrer Verbreitung und der damit verbundenen Angst sorgt bei den Herstellern von kommerzieller Antivirus Software für kapitales Interesse am Fortbestehen von Viren. Manche Antivirus Software kann die Leistung beträchtlich verringern. Users können den Antivirus Schutz sperren, um den Leistungsverlust aufzuheben und so die Gefahr der Infektion damit erhöhen. Für maximalen Schutz muss die Antivirus Software permanent laufen – meistens auf Kosten der Leistungsfähigkeit (siehe auch Software bloat). Die meiste Antivirus Software hat weniger Auswirkung auf die Leistung. Meistens ist es notwendig, den Virenschutz vorübergehend auszuschalten, wenn man Haupt-Updates macht wie z. B. von Windows Services Packs oder Kartentreibern.
Bei gleichzeitigem Betrieb des Antivirus Schutzes und des Haupt-Updates kann es sein, dass das Update nicht funktioniert. Die Ausbreitung der Viren, die sich per Email verbreiten, könnte leicht, effektiv und kostengünstig ohne Installation zusätzlicher Antivirus Software unterbunden werden, wenn Bugs in E-Mail Clients, die die unautorisierte Ausführung des Codes zulassen, örtlich festgelegt werden.
Die Schulung der User kann die Antivirus Software effektiv ergänzen; einfache Usertrainings über sichere Computerpraxis (wie kein Downloaden und Ausführen unbekannter Programme aus dem Internet) würde die Ausbreitung von Viren verlangsamen und die Notwendigkeit vieler Antivirus Software hinfällig machen.
|
