|
Virenscanner
Virenscanner (scan = absuchen) beginnen die Virensuche erst auf Wunsch des Anwenders, d.h. die sogenannte "Search Engine" muss wie ein normales Programm gestartet werden, um den Computer auf Viren abzusuchen. [zurück zum Anfang]
Hintergundwächter
Hintergrundwächter (Virenwächter) werden beim Hochfahren des Computers automatisch geladen und wachen im Hintergrund ständig darüber, ob ein Virus versucht, das System zu infizieren. Beispiel: Sie laden eine Datei aus dem Internet, öffnen ein Word-Dokument oder greifen auf eine neu eingelegte Diskette zu: In allen Fällen überprüft der Virenwächter automatisch, ob die Datei bzw. die Diskette infiziert ist. Meist hinterlässt das Programm ein kleines Icon im Tray-Bereich rechts unten am Bildschirmrand. [zurück zum Anfang]
Prüfsummenverfahren
In einem ersten Durchgang wird für den Bootsektor und jede gefährdete Datei eine Prüfsumme berechnet und auf der Festplatte in einer Prüfsummendatei abgespeichert. In die Prüfsumme gehen u.a. die Dateigröße, das Erstellungsdatum der Datei sowie eine aus dem Inhalt der Datei berechnete Prüfzahl ein. Bei einem späteren Scanvorgang wird erneut die Prüfsumme berechnet und mit der gespeicherten verglichen. Hat sich die Prüfsumme einer Datei verändert, liegt mit grosser Wahrscheinlichkeit ein Virenbefall vor. Zumindest gilt es nachzuprüfen, warum sich diese Datei seit dem Anlegen der Prüfsummendatei verändert hat. Handelt es sich bei der Datei um ein Textdokument, so kann die Veränderung der Prüfsumme auch einfach daran liegen, dass das Dokument in der Zwischenzeit überarbeitet wurde. Das Prüfsummenverfahren macht also keine Aussage über die Ursache der Veränderung.
In einigen Fällen geht das Prüfsummenverfahren ins Leere: Wenn noch keine Prüfsummen erzeugt wurden, kann auch kein Vergleich stattfinden. Ist die Datei ausserdem beim Anlegen der Prüfsummendatei bereits befallen, fällt die Infektion bei einem späteren Scanvorgang nicht auf, da sich die Prüfsumme nicht verändert hat. Und: Stealth-Viren sind in der Lage, sich zu verstecken und der Antivirensoftware eine korrekte Prüfsumme vorzugaukeln. [zurück zum Anfang]
Signaturverfahren
Hier sucht das Antivirenprogramm nach bestimmten charakteristischen Bytefolgen. Für viele Viren sind diese sogenannten "Signaturen" bekannt. Enthält eine Datei eine solche bekannte Signatur, schlägt das Programm Alarm. Ein Nachteil besteht darin, dass damit nur bereits bekannte Viren gefunden werden. Neue Viren, deren Signaturen noch nicht in der Datenbank der Antivirensoftware enthalten sind, werden nicht erkannt. Auch polymorphe Viren, die sich bei jeder neuen Infektion selbst verändern, fallen durchs Prüfnetz.
Heuristische Verfahren: Bei dieser Suchstrategie werden die Dateien auf virustypischen Programmcode hin untersucht. So enthält ein Virus normalerweise einen Programmteil, der auf andere Programme zugreift, um diese zu infizieren. Die entsprechenden Befehlsfolgen sind jedoch für normale Programme untypisch, so dass die Antiviren-Software Alarm schlägt. Hierbei kann es allerdings zu Fehlalarmen kommen, da bestimmte Dateien virenähnlichen Code enthalten können. Der grosse Vorteil heuristischer Verfahren besteht darin, dass damit auch neue, noch unbekannte Viren erkannt werden können.
Gute Antivirensoftware setzt mehrere dieser Verfahren gleichzeitig ein, um die Erkennungsrate zu erhöhen. [zurück zum Anfang]
|
