home   mail   download   suchen  
schutz vor viren  
   

einführung

virenarten

suchstrategien  

antiviren-
software

schutz-
maßnahmen

infiziert !

e-mail-viren
hoaxe

online

checklist

   
Suchstrategien

 
Grundsätzlich unterscheidet man zwei unterschiedliche Suchstrategien:
  • Virenscanner (scan=absuchen) beginnen die Virensuche erst auf Wunsch des Anwenders, d.h die sogenannte "Search Engine" muss wie ein normales Programm gestartet werden, um den Computer auf Viren abzusuchen.
  • Hintergrundwächter (Virenwächter) werden beim Hochfahren des Computers automatisch geladen und wachen im Hintergrund ständig darüber, ob ein Virus versucht, das System zu infizieren. Beispiel: Sie laden eine Datei aus dem Internet, öffnen ein Word-Dokument oder greifen auf eine neu eingelegte Diskette zu: In allen Fällen überprüft der Virenwächter automatisch, ob die Datei bzw. die Diskette infiziert ist. Meist hinterläßt das Programm ein kleines Icon im Tray-Bereich rechts unten am Bildschirmrand.
Woran erkennen aber nun Anti-Viren-Programme, ob eine Datei oder ein Bootsektor von einem Virus befallen ist? Hier gibt es drei unterschiedliche Verfahren:
  • Prüfsummenverfahren: In einem ersten Durchgang wird für den Bootsektor und jede gefährdete Datei eine Prüfsumme berechnet und auf der Festplatte in einer Prüfsummendatei abgespeichert. In die Prüfsumme gehen u.a. die Dateigröße, das Erstellungsdatum der Datei sowie eine aus dem Inhalt der Datei berechnete Prüfzahl ein. Bei einem späteren Scanvorgang wird erneut die Prüfsumme berechnet und mit der gespeicherten verglichen. Hat sich die Prüfsumme einer Datei verändert, liegt mit großer Wahrscheinlichkeit ein Virenbefall vor. Zumindest gilt es nachzuprüfen, warum sich diese Datei seit dem Anlegen der Prüfsummendatei verändert hat. Handelt es sich bei der Datei um ein Textdokument, so kann die Veränderung der Prüfsumme auch einfach daran liegen, dass das Dokument in der Zwischenzeit überarbeitet wurde. Das Prüfsummenverfahren macht also keine Aussage über die Ursache der Veränderung.
    In einigen Fällen geht das Prüfsummenverfahren ins Leere: Wenn noch keine Prüfsummen erzeugt wurden, kann auch kein Vergleich stattfinden. Ist die Datei außerdem beim Anlegen der Prüfsummendatei bereits befallen, fällt die Infektion bei einem späteren Scanvorgang nicht auf, da sich die Prüfsumme nicht verändert hat. Und: Stealth-Viren sind in der Lage, sich zu verstecken und der Antivirensoftware eine korrekte Prüfsumme vorzugaukeln.
  • Signatur-Verfahren: Hier sucht das Antivirenprogramm nach bestimmten charakteristischen Bytefolgen. Für viele Viren sind diese sogenannten "Signaturen" bekannt. Enthält eine Datei eine solche bekannte Signatur, schlägt das Programm Alarm. Ein Nachteil besteht darin, dass damit nur bereits bekannte Viren gefunden werden. Neue Viren, deren Signaturen noch nicht in der Datenbank der Antivirensoftware enthalten sind, werden nicht erkannt. Auch polymorphe Viren, die sich bei jeder neuen Infektion selbst verändern, fallen durchs Prüfnetz.
  • Heuristische Verfahren: Bei dieser Suchstrategie werden die Dateien auf virustypischen Programmcode hin untersucht. So enthält ein Virus normalerweise einen Programmteil, der auf andere Programme zugreift, um diese zu infizieren. Die entsprechenden Befehlsfolgen sind jedoch für normale Programme untypisch, so dass die Antiviren-Software Alarm schlägt. Hierbei kann es allerdings zu Fehlalarmen kommen, da bestimmte Dateien virenähnlichen Code enthalten können. Der große Vorteil heuristischer Verfahren besteht darin, dass damit auch neue, noch unbekannte Viren erkannt werden können.
Gute Antivirensoftware setzt mehrere dieser Verfahren gleichzeitig ein, um die Erkennungsrate zu erhöhen.

 

 
    zum Seitenanfang   Antiviren - Software  


 
     sitemap     |   kreideholen.de   home   |    post@kreideholen.de   mail   |    © 1999-2002 Michael Schiel