[HaBo]
| (In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene. |
Wie arbeitet ein A/V active scan?
Diskussion: Wie arbeitet ein A/V active scan? im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige nuja, die frage steht eigentlich schon im betreff: mich wuerd brennend interessieren, wie so ein antiviren-programm arbeitet, wenn es ...
 |
05.01.06, 23:03
| #1 (permalink) |
| Registriert seit: 11.09.05    Likes: 0 |  Wie arbeitet ein A/V active scan? Anzeige nuja, die frage steht eigentlich schon im betreff: mich wuerd brennend interessieren, wie so ein antiviren-programm arbeitet, wenn es ueber ein active scanning/guard/etc. verfuegt mir geht es dabei darum, wie es bewerkstelligt, von jeder datei informiert zu werden, die geöffnet/ausgefuehrt wird und die dann scannen kann. meine eigenen ueberlegungen waren: 1. die entsprechenden system-apis hooken wuerde aber ziemliche komplikationen aufrufen, wenn dann wirklich ein rootkit etc. die macht uebernimmt, da die ja auch ziemlich oft mit hooks arbeiten und so den a/v komplett ausser gefecht setzen wuerden.. 2. gibts evtl ne antiviren-api, wo sich das programm registriert und dann jedes mal vom system aufgerufen wird, wenn ein programm etc. gestartet wird? thx, mfg heinzel EDIT: hat einfach keiner ne ahnung, keiner lust oder bin ich im falschen unterforum? X( |
|  |
|
08.01.06, 17:29
| #2 (permalink) |
| Registriert seit: 30.05.05 Likes: 0 | ich vermute mal da werden die apis gehookt. also 1. und bevor das rootkit ausgeführt / installiert wird, wird ja erstmal das av drüberlaufen lassen und das erkennt dann (hoffentlich) das die datei böse ist und blockt den zugriff. da gibts so ein tool NTFILEMON von sysinternals. das listet auch alle dateizugriffe auf. ich nehm mal an das funktioniert genauso. |
|
| |
| HaBOT | - Anzeige - |
|
|
09.01.06, 18:07
| #3 (permalink) |
| Themenstarter Registriert seit: 11.09.05 Likes: 0 | hm ok, aber wie werden die gehookt? naja hängt wahrscheinlich vom jeweiligen scanner ab, werden nicht alle gleich machen.. kennt vielleicht wer n gutes paper dazu oder ne page oder ähnliches? oder wird das alles geheimgehalten wegen viren, die gezielt den scanner angreifen könnten? aber eigentlich kann doch durch reverse engineering trotzdem relevanter code und funktionsweisen offengelegt werden, denk ich mal.. |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » (In)security allgemein » Wie arbeitet ein A/V active scan?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Active Desktop | TheTeddy | (Web-) Design und webbasierte Sprachen | 0 | 31.12.07 01:20 |
| Active Directory | SY|ruS | Network · LAN, WAN, Firewalls | 2 | 03.12.07 14:43 |
| Active Directory? | MrMartin | (In)security allgemein | 8 | 21.01.05 22:44 |
| Active Directory | doeddl | Network · LAN, WAN, Firewalls | 7 | 07.01.05 20:43 |
| Active X über GPO | Intruder | Windows | 0 | 25.11.04 14:55 |
