Genauere Funktionsweise von Antivirenprogrammen?

[masterplc]

Hallo, Ich programmiere jetzt schon ein wenig ( ca.1 Jahr ) und habe mich bisher noch nicht allzu intensiv mit Sicherheitsfragen beschäftigt (Will jetzt damit anfangen da mich das einfach interessiert).Deshalb interessiert mich folgendes:Wie arbeiten AVs genau?Das oberflächlichste habe ich schon verstanden ( Signaturenerkennung usw. ) aber mich interessieren vor allem Mechanismen die Viren zur Laufzeit erkennen.Mich interessiert vor allem die genauere Funktionsweise (File System Filter Driver oder ordinäre Hooks?), welche API Aufrufe als Viren gebrandmarkt werden und ob das AV den Arbeitsspeicher prüft und wie das AV es fertigbekommt bei einem vertretbaren Leistungsverbrauch so viele Dinge zu überwachen ohne zu crashen.


Falls die Frage noobig ist entschuldigt dies bitte.Ich bin ja auch ein Noob

 

[GrafZahl]

ich sag nur ... schlangenöl ... ich kenne kein AV proggie was neben signatur erkennung vertretbar mit heuristik schädlinge erkennt ...

aber zum "wie funktionierts?"

man nehme:

einige dutzend oder mehr aktuelle schädlinge, und analysiere welche aufrufe sie für bestimmte "schädliche" aktionen verwenden ... welche string konstanten sie enthalten, etc... damit hat man eine liste von "üblichen verdächtigen" ... diese kommen ggf noch in einer gewissen reihenfolge oder struktur vor (man kann ein programm als graph seiner anweisungen betrachten)

ab jetzt macht man dann mustererkennung wie bei einem spamfilter und verteilt punkte für bestimmte als schädlich erachtete merkmale und brandmarkt ein file als böse wenns mehr als X punkte erzielt ...

das problem ist nur, dass man auf der gegenseite diese maßnahmen natürlich kennt ... und es auch natürlich methoden gibt das zu unterlaufen ...

und es sei noch erwähnt, dass die false positive rate vergleichsweise hoch ist ... so ist es nicht verwunderlich dass sich manche vierenscanner gleich selbst eintüten weil sie teile ihres eigenen codes als böse identifizieren, oder selbiges mit wichtigen systemdateien machen ... gabs alles schon ...

schlangenöl ... allerbestes schlangenöl ... sehr günstig ... hilft garantiert ... schlangenöl ... beste quallität ...

 

[DerW]

Ist zwar nicht direkt ein Antivirenprogramm (sondern soll meine ich eine "Ergänzung" darstellen), zeigt aber ganz gut, wie die "verhaltensbasierte Erkennung" in vielen Fällen funktioniert: KernelMode.info • View topic - Fireball for ThreatFire

 

[masterplc]

Ok danke für eure Antworten
Ja ich habe es schon geahnt das die avs nicht allzuviel bringen (Es ist erschreckend einfach einen crypter zu bauen und sogar das ändern des Icons trickst auf VT einige Avs aus) aber deine Ausführungen lassen mich echt darüber nachdenken ob ich avira nicht gleich von meinem “Schießbudenfigur“ (Ich teste auf diesem Lappi ab und an einige Sachen wie das ausnutzen eines absichtlich platzierten Buffer Overflow und die Funktionsweise von diversen Viren) Laptop runterzuschmeißen kann...
Ich meine sogar der Test Virus den ich heute morgen gebaut habe (In AutoIt mit möglichst auffälligen routinennnamen und allem was ein av als schädlich erkennen könnte) ist da durch gerutscht...
Also danke für eure antworten.Sie waren sehr erleuchtend.