[HaBo]

Valentin · 16.12.04, 07:02

Ahoi, ich habe mal ne Frage wie funktioniert eigentlich son Virenscanner so rein teorethisch ? Wie erkennt er, dass die Datei xyz.abc vom Virus Dummes_Drecksding befallen ist ?

Valentin

magenbrot · 16.12.04, 09:31

guggsd mal hier:
http://www.securityinfo.ch/virenscanner.html

oder google bringt auch jede menge

Anzeige

- Anzeige -

SUID:root · 16.12.04, 10:48

In groben Zügen:

Betrachtes du einen Virus mit einem Hex-Editor, hast du ein einmaliges Muster an Hex-Code.
Daraus wird eine Virus-Signatur erstellt. Darin wird festgelegt, dass an Offset xyz der Hexcode 00 B0 FF (Beispiel) zu finden ist. Dies wird an mehreren Stellen des Codes wiederholt.

Die Signaturen sind nur wenige Byte groß. Stimmen bei einem Scan bestimmte Merkmale des Code mit dem in der Virusdefinition überein, wird ein ACHTUNG VIRUS ausgelöst.

Es ist also auch möglich, mit einem Hex-Editor diese Siganturen zu ändern um sie zu stealthen.

Gruss

root

**Elderan** · 16.12.04, 12:52

Hallo,
es ist aber auch möglich, damit Harmlose Programme so zu verändern, das sie als Virus xyz erkannt werden, sofern man die Signatur kennt.
Bei Adobe Reader 6.02 (glaub ich) schlägt glaub ich Pest Patrol oder so Alarm und denkt es wäre ein Virus.

Aber neue Virenscanner haben meisten noch eine Heraistik eingebaut, diese versucht verdächtige Verhaltensmuster zu erkenne.

Problem: Wie erkenne ich einen Virus??

Also mit Partitionmagic kann ich ne Festplatte neu partionieren sowie formatieren. Dort ist es erwünscht.

Aber durch das neu partionieren könnte ich auch die gesamten Daten auf einem Laufwerk ungültig machen.

Virenscanner und Firewall laufen meisten im Hintergrund als Service, dies machen Viren/Würmer/Trojaner etc. auch um nicht entdeckt zu werden.

FTP Server sowie jeder andere Art vom Server öffnen einen Port um auf Anfragen zu lauschen.

Schädlinge machen dies auf, um neue Befehle zu erhalten.

Du siehst also, es ist extrem schwer einen Suchalgorithmus gegen Unbekannteviren zu entwickeln, denn entweder werden die Harmlosen Programme als Virus definiert, oder die Viren haben keine Probleme sich zu verstecken, denn diese benutzen eigentlich die gleichen Grundalgorithmen wie jedes andere brauchbare Programm.

Und der PC/Virenprogramm kann nicht für uns entscheiden ob ein Programm jetzt gut für uns ist oder nicht.

Aber AntiVir schlägt z.B. alarm, wenn man mit VB versucht eine bestimmte DLL einzubinden, die man für den Servicedienst braucht.

Anzeige

- Anzeige -

16.12.04, 07:02	#1 (permalink)
Valentin Registriert seit: 30.11.04 Likes: 0	Virenscanner Anzeige Ahoi, ich habe mal ne Frage wie funktioniert eigentlich son Virenscanner so rein teorethisch ? Wie erkennt er, dass die Datei xyz.abc vom Virus Dummes_Drecksding befallen ist ? Valentin

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Portable Virenscanner	muii	Virenschutz · Tools & Aggressive Software	4	05.08.09 16:29
Virenscanner unter Linux	Snake?	Umfragen	21	24.09.07 15:40
Virenscanner	choasman	Network · LAN, WAN, Firewalls	2	11.08.06 14:04
microsoft mit virenscanner?	markg	News & Ankündigungen	4	02.02.05 14:51
welchen virenscanner???	matrixII	Applikationen	5	03.06.04 14:27

16.12.04, 09:31	#2 (permalink)
magenbrot Registriert seit: 21.09.04 Likes: 0	guggsd mal hier: http://www.securityinfo.ch/virenscanner.html oder google bringt auch jede menge

16.12.04, 10:48	#3 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	In groben Zügen: Betrachtes du einen Virus mit einem Hex-Editor, hast du ein einmaliges Muster an Hex-Code. Daraus wird eine Virus-Signatur erstellt. Darin wird festgelegt, dass an Offset xyz der Hexcode 00 B0 FF (Beispiel) zu finden ist. Dies wird an mehreren Stellen des Codes wiederholt. Die Signaturen sind nur wenige Byte groß. Stimmen bei einem Scan bestimmte Merkmale des Code mit dem in der Virusdefinition überein, wird ein ACHTUNG VIRUS ausgelöst. Es ist also auch möglich, mit einem Hex-Editor diese Siganturen zu ändern um sie zu stealthen. Gruss root

16.12.04, 12:52	#4 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, es ist aber auch möglich, damit Harmlose Programme so zu verändern, das sie als Virus xyz erkannt werden, sofern man die Signatur kennt. Bei Adobe Reader 6.02 (glaub ich) schlägt glaub ich Pest Patrol oder so Alarm und denkt es wäre ein Virus. Aber neue Virenscanner haben meisten noch eine Heraistik eingebaut, diese versucht verdächtige Verhaltensmuster zu erkenne. Problem: Wie erkenne ich einen Virus?? Also mit Partitionmagic kann ich ne Festplatte neu partionieren sowie formatieren. Dort ist es erwünscht. Aber durch das neu partionieren könnte ich auch die gesamten Daten auf einem Laufwerk ungültig machen. Virenscanner und Firewall laufen meisten im Hintergrund als Service, dies machen Viren/Würmer/Trojaner etc. auch um nicht entdeckt zu werden. FTP Server sowie jeder andere Art vom Server öffnen einen Port um auf Anfragen zu lauschen. Schädlinge machen dies auf, um neue Befehle zu erhalten. Du siehst also, es ist extrem schwer einen Suchalgorithmus gegen Unbekannteviren zu entwickeln, denn entweder werden die Harmlosen Programme als Virus definiert, oder die Viren haben keine Probleme sich zu verstecken, denn diese benutzen eigentlich die gleichen Grundalgorithmen wie jedes andere brauchbare Programm. Und der PC/Virenprogramm kann nicht für uns entscheiden ob ein Programm jetzt gut für uns ist oder nicht. Aber AntiVir schlägt z.B. alarm, wenn man mit VB versucht eine bestimmte DLL einzubinden, die man für den Servicedienst braucht.

[HaBo]

Virenscanner