![[HaBo]](/styles/default/logoklein.png){kind=small}
Virenscanner
- Themenstarter Valentin
- Beginndatum
SUID:root
Member of Honour
In groben Zügen:
Betrachtes du einen Virus mit einem Hex-Editor, hast du ein einmaliges Muster an Hex-Code.
Daraus wird eine Virus-Signatur erstellt. Darin wird festgelegt, dass an Offset xyz der Hexcode 00 B0 FF (Beispiel) zu finden ist. Dies wird an mehreren Stellen des Codes wiederholt.
Die Signaturen sind nur wenige Byte groß. Stimmen bei einem Scan bestimmte Merkmale des Code mit dem in der Virusdefinition überein, wird ein ACHTUNG VIRUS ausgelöst.
Es ist also auch möglich, mit einem Hex-Editor diese Siganturen zu ändern um sie zu stealthen.
Gruss
root
Betrachtes du einen Virus mit einem Hex-Editor, hast du ein einmaliges Muster an Hex-Code.
Daraus wird eine Virus-Signatur erstellt. Darin wird festgelegt, dass an Offset xyz der Hexcode 00 B0 FF (Beispiel) zu finden ist. Dies wird an mehreren Stellen des Codes wiederholt.
Die Signaturen sind nur wenige Byte groß. Stimmen bei einem Scan bestimmte Merkmale des Code mit dem in der Virusdefinition überein, wird ein ACHTUNG VIRUS ausgelöst.
Es ist also auch möglich, mit einem Hex-Editor diese Siganturen zu ändern um sie zu stealthen.
Gruss
root
Elderan
0
Hallo,
es ist aber auch möglich, damit Harmlose Programme so zu verändern, das sie als Virus xyz erkannt werden, sofern man die Signatur kennt.
Bei Adobe Reader 6.02 (glaub ich) schlägt glaub ich Pest Patrol oder so Alarm und denkt es wäre ein Virus.
Aber neue Virenscanner haben meisten noch eine Heraistik eingebaut, diese versucht verdächtige Verhaltensmuster zu erkenne.
Problem: Wie erkenne ich einen Virus??
Also mit Partitionmagic kann ich ne Festplatte neu partionieren sowie formatieren. Dort ist es erwünscht.
Aber durch das neu partionieren könnte ich auch die gesamten Daten auf einem Laufwerk ungültig machen.
Virenscanner und Firewall laufen meisten im Hintergrund als Service, dies machen Viren/Würmer/Trojaner etc. auch um nicht entdeckt zu werden.
FTP Server sowie jeder andere Art vom Server öffnen einen Port um auf Anfragen zu lauschen.
Schädlinge machen dies auf, um neue Befehle zu erhalten.
Du siehst also, es ist extrem schwer einen Suchalgorithmus gegen Unbekannteviren zu entwickeln, denn entweder werden die Harmlosen Programme als Virus definiert, oder die Viren haben keine Probleme sich zu verstecken, denn diese benutzen eigentlich die gleichen Grundalgorithmen wie jedes andere brauchbare Programm.
Und der PC/Virenprogramm kann nicht für uns entscheiden ob ein Programm jetzt gut für uns ist oder nicht.
Aber AntiVir schlägt z.B. alarm, wenn man mit VB versucht eine bestimmte DLL einzubinden, die man für den Servicedienst braucht.
es ist aber auch möglich, damit Harmlose Programme so zu verändern, das sie als Virus xyz erkannt werden, sofern man die Signatur kennt.
Bei Adobe Reader 6.02 (glaub ich) schlägt glaub ich Pest Patrol oder so Alarm und denkt es wäre ein Virus.
Aber neue Virenscanner haben meisten noch eine Heraistik eingebaut, diese versucht verdächtige Verhaltensmuster zu erkenne.
Problem: Wie erkenne ich einen Virus??
Also mit Partitionmagic kann ich ne Festplatte neu partionieren sowie formatieren. Dort ist es erwünscht.
Aber durch das neu partionieren könnte ich auch die gesamten Daten auf einem Laufwerk ungültig machen.
Virenscanner und Firewall laufen meisten im Hintergrund als Service, dies machen Viren/Würmer/Trojaner etc. auch um nicht entdeckt zu werden.
FTP Server sowie jeder andere Art vom Server öffnen einen Port um auf Anfragen zu lauschen.
Schädlinge machen dies auf, um neue Befehle zu erhalten.
Du siehst also, es ist extrem schwer einen Suchalgorithmus gegen Unbekannteviren zu entwickeln, denn entweder werden die Harmlosen Programme als Virus definiert, oder die Viren haben keine Probleme sich zu verstecken, denn diese benutzen eigentlich die gleichen Grundalgorithmen wie jedes andere brauchbare Programm.
Und der PC/Virenprogramm kann nicht für uns entscheiden ob ein Programm jetzt gut für uns ist oder nicht.
Aber AntiVir schlägt z.B. alarm, wenn man mit VB versucht eine bestimmte DLL einzubinden, die man für den Servicedienst braucht.